Op 25 mei is het zover. Dan zal de nationale Privacywetgeving vervangen worden door de Algemene Verordening Gegevensbescherming (AVG). Door de AVG zijn persoonsgegevens van alle EU-inwoners straks op dezelfde wijze beschermd. Persoonsgegevens zijn tegenwoordig steeds meer waard en worden ook steeds kwetsbaarder. De nieuwe wet speelt hier op in. Maar wat gaat er nu allemaal veranderen voor werkgevers? Wij zetten het voor u op een rijtje.

Meer verplichtingen bij het verwerken van persoonsgegevens

Als organisatie krijgt u meer verplichtingen. U moet aan kunnen tonen dat u de wet volgt. Dit zal betekenen dat u met documenten kunt laten zien dat u de juiste organisatorische en technische maatregelen heeft genomen om aan de AVG te voldoen. U moet goed nadenken over hoe uw organisatie persoonsgegevens verwerkt en hoe u de veiligheid hiervan garandeert. Maak inzichtelijk welke persoonsgegevens worden gebruikt, met welk doel, waar ze worden opgeslagen en wie er toegang tot de gegevens hebben. Dit kunt u vastleggen in een verwerkingsregister. Dit zal voor vrijwel alle organisaties verplicht worden.

Wanneer mag u persoonsgegevens verzamelen?

Er zijn verschillende redenen waarom u persoonsgegevens mag verzamelen, namelijk:

• u heeft toestemming van de gebruiker; 
• er is sprake van vitale belangen;
• er is een wettelijke verplichting;
• er is een overeenkomst;
• er is sprake van algemeen belang;
• er is sprake van gerechtvaardigd belang.

Rechten van betrokkenen

Door de AVG krijgen betrokken, ofwel degenen van wie persoonsgegeven worden verwerkt, diverse mogelijkheden om voor zichzelf op te komen. Denk hierbij aan bestaande rechten, zoals het recht op inzage. Daarnaast zijn er ook nieuwe rechten en uitgebreide rechten, zoals:

• Het recht op dataportabiliteit: oftewel overdraagbaarheid van persoonsgegevens. Betrokken hebben het recht om de persoonsgegevens te ontvangen die een organisatie van hen heeft.
• Het recht op vergetelheid: dit recht houdt in dat organisaties in een aantal gevallen persoonsgegevens moeten wissen als een betrokkene erom vraagt. Dit recht lijkt op het huidige recht op correctie en verwijdering,maar is breder.
• Aantoonbare toestemming: voor sommige gegevensverwerkingen hebt u toestemming nodig. Nieuw is dat u moet kunnen aantonen dat u geldige toestemming van mensen heeft gekregen en het moet voor betrokkenen makkelijk zijn om deze toestemming in te trekken.

Privacyverklaring, transparant en volledig

Onder de AVG heeft u informatieplicht. U moet nieuwe en bestaande klanten duidelijk informeren over wat u met persoonsgegevens doet. U kunt hieraan voldoen door een online privacyverklaring. U moet in eenvoudige taal precies en volledig uitleggen wat u doet met persoonlijke gegevens. Daarnaast moet u mensen wijzen op hun rechten en op de mogelijkheid om een klacht in te dienen.

Data Protection Impact Assessment (DPIA)

Onder de AVG kunnen organisaties verplicht zijn een Data Protection Impact Assessment uit te voeren.

DPO-rol

De AVG verplicht grootschalige gegevensverwerkers een functionaris gegevensbescherming aan te stellen. Deze functionaris wordt in elk geval verplicht voor overheidsorganisaties en voor organisaties die zijn belast met verwerkingen op grote schaal, en van bijzondere persoonsgegevens.

Gegevensoverdracht, veilig ofwel versleuteld

Hou er rekening mee dat u als werkgever verantwoordelijk blijft. Ook wanneer u gebruik maakt van een bepaalde verwerker of provider. U blijft verantwoordelijk voor de data die u opslaat en transporteert. De nieuwe regels richten zich zowel op opdrachtgevers als op de uitvoerders van opslag en verspreiding van persoonsgegevens. Beide partijen dienen er op toe te zien dat gegevensoverdracht veilig verloopt. En veilig, dat wil zeggen dat de gegevens te allen tijde versleuteld moeten zijn. Het is belangrijk om hier goed over na te denken, want u kunt gemakkelijk de fout ingaan. Uw nieuwe medewerker vragen om zijn gegevens even op de mail te zetten voor de salarisadministratie? Fout, u kunt namelijk niet checken of de gegevensoverdracht gedurende het gehele traject versleuteld gaat plaatsvinden. Daarnaast moet u er rekening mee houden dat er niet uit de data opgemaakt mag kunnen worden op welke persoon deze betrekking heeft. Genoeg om over na te denken dus!

Meldplicht datalekken

U moet een datalek zo snel mogelijk na ontdekken melden bij de Autoriteit Persoonsgegevens. Een datalek is bijvoorbeeld ook een gestolen laptop of USB stick. Zijn er geen risico’s voor personen? Dan hoeft u dit niet te melden, wel moet u het datalek intern vastleggen. Verwerkt u privacygevoelige data voor anderen? Dan moet u het datalek ook bij deze personen melden.

Meer en vaker vernietigen

Bewaar gegevens niet langer dan nodig. Wanneer er geen doel of wettelijke grondslag (meer) aanwezig is, moeten de gegevens worden verwijderd. Bijvoorbeeld de sollicitatiegegevens van een sollicitant die niet is aangenomen; na vier werken moet u deze gegevens verwijderen. Sommige bedrijven leggen alle geboortedata van kinderen van hun werknemers vast voor het ouderschapsverlof. Het is echter niet nodig om al deze data vast te leggen. Ook zijn er gegevens die u niet mag vastleggen, bijvoorbeeld de reden van ziekmelding. Deze voorbeelden laten zien dat u heel goed moet nadenken waarom u gegevens vastlegt. Ga alles wat u in een database bewaart na en vraag u af of het nodig en of het toegestaan is.

Privacybescherming is topprioriteit

Stel uzelf bij elk nieuw en bestaand project als eerste de vraag: wat zijn de risico’s voor de privacy en pas uw beleid en procedures hier op aan. De boetes voor het zich niet houden aan de privacyregels zijn torenhoog, dus zorg ervoor dat u op de hoogte bent!

Met dit artikel hebben we u inzicht gegeven in de AVG, zodat u de nodige maatregelen kan nemen. Wilt u meer weten? Schrijf u dan in voor onze workshop AVG.

Meer weten of persoonlijk advies?

Als u vragen heeft over de studiedag AVG of andere opleidingszaken, bel mij dan gerust even op (040) 2 947 957

Cas Bakker