Op
25 mei is het zover. Dan zal de nationale Privacywetgeving vervangen worden
door de Algemene Verordening Gegevensbescherming (AVG). Door de AVG zijn
persoonsgegevens van alle EU-inwoners straks op dezelfde wijze beschermd.
Persoonsgegevens zijn tegenwoordig steeds meer waard en worden ook steeds
kwetsbaarder. De nieuwe wet speelt hier op in. Maar wat gaat er nu allemaal
veranderen voor werkgevers? Wij zetten het voor u op een rijtje.
Meer
verplichtingen bij het verwerken van persoonsgegevens
Als
organisatie krijgt u meer verplichtingen. U moet aan kunnen tonen dat u de wet
volgt. Dit zal betekenen dat u met documenten kunt laten zien dat u de juiste
organisatorische en technische maatregelen heeft genomen om aan de AVG te
voldoen. U moet goed nadenken over hoe uw organisatie persoonsgegevens verwerkt
en hoe u de veiligheid hiervan garandeert. Maak inzichtelijk welke
persoonsgegevens worden gebruikt, met welk doel, waar ze worden opgeslagen en
wie er toegang tot de gegevens hebben. Dit kunt u vastleggen in een
verwerkingsregister. Dit zal voor vrijwel alle organisaties verplicht worden.
Wanneer
mag u persoonsgegevens verzamelen?
Er
zijn verschillende redenen waarom u persoonsgegevens mag verzamelen, namelijk:
- u
heeft toestemming van de gebruiker;
- er is
sprake van vitale belangen;
- er
is een wettelijke verplichting;
- er
is een overeenkomst;
- er is
sprake van algemeen belang;
- er is
sprake van gerechtvaardigd belang.
Rechten
van betrokkenen
Door
de AVG krijgen betrokken, ofwel degenen van wie persoonsgegeven worden
verwerkt, diverse mogelijkheden om voor zichzelf op te komen. Denk hierbij aan
bestaande rechten, zoals het recht op inzage. Daarnaast zijn er ook nieuwe
rechten en uitgebreide rechten, zoals:
- Het
recht op dataportabiliteit: oftewel overdraagbaarheid van persoonsgegevens.
Betrokken hebben het recht om de persoonsgegevens te ontvangen die een
organisatie van hen heeft.
- Het
recht op vergetelheid: dit recht houdt in dat organisaties in een aantal
gevallen persoonsgegevens moeten wissen als een betrokkene erom vraagt. Dit recht lijkt op het huidige recht op correctie
en verwijdering,maar is breder.
- Aantoonbare
toestemming: voor sommige gegevensverwerkingen hebt u toestemming nodig. Nieuw
is dat u moet kunnen aantonen dat u geldige toestemming van mensen heeft
gekregen en het moet voor betrokkenen makkelijk zijn om deze toestemming in te
trekken.
Privacyverklaring,
transparant en volledig
Onder
de AVG heeft u informatieplicht. U moet nieuwe en bestaande klanten duidelijk
informeren over wat u met persoonsgegevens doet. U kunt hieraan voldoen door
een online privacyverklaring. U moet in eenvoudige taal precies en volledig
uitleggen wat u doet met persoonlijke gegevens. Daarnaast moet u mensen wijzen
op hun rechten en op de mogelijkheid om een klacht in te dienen.
Data Protection Impact Assessment
(DPIA)
Onder
de AVG kunnen organisaties verplicht zijn een Data Protection Impact Assessment
uit te voeren.
DPO-rol
De AVG
verplicht grootschalige gegevensverwerkers een functionaris gegevensbescherming
aan te stellen. Deze functionaris wordt in elk geval verplicht voor
overheidsorganisaties en voor organisaties die zijn belast met verwerkingen op
grote schaal, en van bijzondere persoonsgegevens.
Gegevensoverdracht,
veilig ofwel versleuteld
Hou er
rekening mee dat u als werkgever verantwoordelijk blijft. Ook wanneer u gebruik
maakt van een bepaalde verwerker of provider. U blijft verantwoordelijk voor de
data die u opslaat en transporteert. De nieuwe regels richten zich zowel op
opdrachtgevers als op de uitvoerders van opslag en verspreiding van
persoonsgegevens. Beide partijen dienen er op toe te zien dat
gegevensoverdracht veilig verloopt. En veilig, dat wil zeggen dat de gegevens
te allen tijde versleuteld moeten zijn. Het is belangrijk om hier goed over na
te denken, want u kunt gemakkelijk de fout ingaan. Uw nieuwe medewerker vragen
om zijn gegevens even op de mail te zetten voor de salarisadministratie? Fout,
u kunt namelijk niet checken of de gegevensoverdracht gedurende het gehele
traject versleuteld gaat plaatsvinden. Daarnaast moet u er rekening mee houden
dat er niet uit de data opgemaakt mag kunnen worden op welke persoon deze
betrekking heeft. Genoeg om over na te denken dus!
Meldplicht
datalekken
U moet
een datalek zo snel mogelijk na ontdekken melden bij de Autoriteit
Persoonsgegevens. Een datalek is bijvoorbeeld ook een gestolen laptop of USB
stick. Zijn er geen risico’s
voor personen? Dan hoeft u dit niet te melden, wel moet u het datalek intern
vastleggen. Verwerkt u privacygevoelige data voor anderen? Dan moet u het
datalek ook bij deze personen melden.
Meer
en vaker vernietigen
Bewaar
gegevens niet langer dan nodig. Wanneer er geen doel of wettelijke grondslag
(meer) aanwezig is, moeten de gegevens worden verwijderd. Bijvoorbeeld de
sollicitatiegegevens van een sollicitant die niet is aangenomen; na vier werken
moet u deze gegevens verwijderen. Sommige bedrijven leggen alle geboortedata
van kinderen van hun werknemers vast voor het ouderschapsverlof. Het is echter
niet nodig om al deze data vast te leggen. Ook zijn er gegevens die u niet mag
vastleggen, bijvoorbeeld de reden van ziekmelding. Deze voorbeelden laten zien
dat u heel goed moet nadenken waarom u gegevens vastlegt. Ga alles wat u in een
database bewaart na en vraag u af of het nodig en of het toegestaan is.
Privacybescherming
is topprioriteit
Stel
uzelf bij elk nieuw en bestaand project als eerste de vraag: wat zijn de risico’s
voor de privacy en pas uw beleid en procedures hier op aan. De boetes voor het
zich niet houden aan de privacyregels zijn torenhoog, dus zorg ervoor dat u op
de hoogte bent!
Met
dit artikel hebben we u inzicht gegeven in de AVG, zodat u de nodige
maatregelen kan nemen. Wilt u meer weten? Schrijf u dan in voor onze workshop
AVG.
Meer weten of persoonlijk advies?
Als u vragen heeft over de studiedag AVG of andere opleidingszaken, bel mij dan gerust even op (040) 2 947 957
Cas Bakker