AVG/GDPR

Wat betekent de nieuwe Europese Privacywetgeving (AVG/GDPR) voor werkgevers? Is uw bedrijf al voorbereid op de nieuwe Europese Privacywetgeving? Vanaf 25 mei 2018 geldt in de hele EU dezelfde wetgeving op het gebied van informatie- en privacybeveiliging. In de Algemene Verordening Gegevensbescherming (AVG) staan forse boetes voor bedrijven en organisaties die zich niet aan deze nieuwe wetgeving houden. Ook een werkgever doet er daarom verstandig aan op tijd de juiste maatregelen te nemen. In dit artikel leggen wij u uit waar u in uw personeelsbeleid rekening mee moet houden. De AVG is ook wel bekend onder de Engelse naam: General Data Protection Regulation (GDPR). Het doel van de AVG/GDPR is om bescherming van persoonsgegevens te bieden aan natuurlijke personen (mensen). Nederland mag beperkt beleidsinvulling geven aan deze nieuwe wet en heeft daartoe in december 2017 het wetsvoorstel voor de Uitvoeringswet AVG ingediend. Het wetsvoorstel is beleidsneutraal. Dat wil zeggen dat, ook al wordt de Wet Bescherming Persoonsgegevens (Wbp) ingetrokken per 25 mei 2018, Nederland de regels die daarin staan zoveel mogelijk ongewijzigd laat, daar waar de AVG dat toestaat. Waar in dit artikel wordt gesproken over medewerkers of arbeidskrachten wordt bedoeld: werknemers, ingehuurde zzp-ers en andere flexibel ingehuurde medewerkers, stagiaires en sollicitanten. Alleen de wijzigingen die de AVG/GDPR met zich meebrengt, worden besproken. Houdt u er wel rekening mee dat ook voor de nu al bestaande regels de boetes bij overtreding veel hoger zullen zijn. Deze kunnen oplopen tot tientallen miljoenen euro’s! Verplichtingen voor werkgevers Informatieverplichting uitgebreid Wanneer een werkgever persoonsgegevens aan een arbeidskracht vraagt, dient hij hierover tijdig informatie te verstrekken aan de werknemer. In heldere en duidelijke taal moet uitleg gegeven worden over het doel van de verwerking van de persoonsgegevens en over de bewaartermijn. Als een functionaris voor gegevensbescherming aanwezig is, dan worden diens identiteit en contactgegevens vermeld. Ook zal informatie verstrekt moeten worden over de rechten die de medewerker heeft betreffende zijn persoonsgegevens. Specifiek gaat het dan om het recht op inzage, rectificatie, wissing (recht op vergetelheid), beperking van de verwerking, bezwaar bij de Autoriteit Persoonsgegevens en gegevensoverdracht. Wanneer gegevens doorgegeven worden aan een derde of naar het buitenland moet de medewerker hiervan in kennis gesteld worden. Ook moet hierbij aangegeven worden hoe de gegevens hierbij adequaat beschermd worden. Denk aan situaties waarin u persoonsgegevens doorgeeft naar arbodiensten, pensioenfondsen en verzekeraars. Er zijn verschillende mogelijkheden om medewerkers te informeren. U kunt hierbij denken aan een standaard informatieblad of opname van een privacyregeling in het personeelshandboek. Register van verwerkingsactiviteiten De werkgever is verplicht een register van verwerkingsactiviteiten bij te houden. Dit geldt in beginsel alleen voor bedrijven met meer dan 250 werknemers. Maar als een (kleinere) werkgever bijzondere persoonsgegevens of niet incidenteel persoonsgegevens verwerkt moet hij ook verplicht een register bijhouden. In de praktijk betekent dit dat vrijwel iedere werkgever verplicht een register bij zal moeten houden. Bijzondere gegevens Voorbeelden van bijzondere gegevens zijn ras, etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, maar ook het lidmaatschap van een vakbond, gegevens over preventieve- of arbeidsgeneeskunde of gegevens voor de beoordeling van de arbeidsongeschiktheid van de werknemer. Het verwerken van bijzondere gegevens is in principe verboden, maar er zijn uitzonderingen. Zo is het verbod om gegevens over gezondheid te verwerken niet van toepassing als de verwerking noodzakelijk met het oog op de uitvoering van verplichtingen en de uitoefening van specifieke rechten op het gebied van het arbeidsrecht of sociaal zekerheidsrecht. Werkgevers en pensioenfondsen (of de instellingen die zij daarvoor inschakelen) mogen dan bijzondere gegevens verwerken. De verwerking moet dan wel noodzakelijk zijn voor een goede uitvoering van wettelijke voorschriften of pensioenregelingen. Ook de nakoming van collectieve arbeidsovereenkomsten die voorzien in aanspraken die afhankelijk zijn van de gezondheidstoestand van de betrokkene, de re-integratie of begeleiding van werknemers in verband met ziekte of arbeidsongeschiktheid is een uitzondering op de hoofdregel. Niet-incidentele verwerking Verder is een werkgever ook verplicht een register te voeren als de gegevensverwerking niet slechts incidenteel is. Door het voeren van de werknemersadministratie en de debiteuren/crediteurenadministratie is al snel geen sprake meer van incidentele verwerking van persoonsgegevens. Documentatieplicht Aangezien u als werkgever moet aantonen dat u aan de AVG/GDPR voldoet, is het zonder meer aan te raden om een register van verwerkingsactiviteiten bij te houden. U heeft namelijk (ook) een documentatieplicht. Als verwerker van persoonsgegevens moet u aantonen dat elke verwerkingsactiviteit overeenkomstig de verordening geschiedt en dat u de verplichte passende en effectieve maatregelen heeft genomen voor de bescherming van die persoonsgegevens en dat de genomen maatregelen doeltreffend zijn. Met name voor het aantonen dat elke verwerking volgens de AVG/GDPR plaatsvindt, kan het register een belangrijke bijdrage leveren. De plicht tot het melden van gegevensverwerkingen bij de Autoriteit Persoonsgegevens komt met ingang van de AVG/GDPR te vervallen en wordt vervangen door deze documentatieplicht. Aanstelling functionaris De nieuwe wetgeving verplicht bepaalde bedrijven een functionaris voor persoonsgegevensverwerking aan te stellen. Deze functionaris geniet ontslagbescherming. Deze verplichting geldt voor publieke instanties, als ook voor ondernemingen en organisaties die zich bezighouden met reguliere, systematische en grootschalige controle van personen of verwerking van bijzondere categorieën gegevens. Verbeterde beveiliging van persoonsgegevens Bij de ontwikkeling, de uitwerking, de keuze en het gebruik van toepassingen, diensten en producten die zijn gebaseerd op de verwerking van persoonsgegevens dienen de producenten te worden gestimuleerd om rekening te houden met het recht op bescherming van persoonsgegevens. Ook diegenen die persoonsgegevens verwerken moeten hiertoe zoveel mogelijk gemotiveerd worden. Rekening houdend met de stand van de techniek, moet de werkgever erop toezien dat de verwerkingsverantwoordelijken en de verwerkers in staat zijn te voldoen aan hun verplichtingen inzake gegevensbescherming. Hierbij spelen de beginselen van gegevensbescherming door ontwerp en gegevensbescherming door standaardinstellingen een belangrijke rol. Deze moeten ook bij openbare aanbestedingen een rol spelen. Gegevensbeschermingseffectbeoordeling Organisaties zijn in sommige situaties verplicht om een Data Protection Impact Assessment (DPIA) uit te voeren. Dat is een instrument om vooraf de privacyrisico’s van een gegevensverwerking in kaart te brengen. In de verordening wordt dit ‘gegevensbeschermingseffectbeoordeling’ genoemd. Een DPIA is alleen verplicht als een gegevensverwerking waarschijnlijk een hoog privacyrisico oplevert voor natuurlijke personen (mensen, waaronder ook medewerkers vallen).  Dit kan bijvoorbeeld van toepassing zijn bij organisaties die zich bezig houden met profilering, monitoring van openbaar toegankelijke ruimten of organisaties die op grootschalige wijze bijzondere persoonsgegevens verwerken. Rechten medewerkers Het recht op kopie Naast het recht op inzage kent de AVG/GDPR de medewerker ook een recht van kopie toe. Het recht van kopie kent wel een beperking: de werkgever moet bij het verstrekken van een kopie van de persoonsgegevens rekening houden met de privacy van een eventuele derde. Recht op vergetelheid Medewerkers krijgen, onder voorwaarden, het recht op wissing van hun gegevens, ook wel het recht op vergetelheid genoemd. Dit recht ontstaat als de persoonsgegevens niet langer nodig zijn voor het bereiken van het doel waarvoor zij zijn verzameld. Ook als de arbeidskracht zeer gegronde bezwaren heeft op basis van zijn specifieke omstandigheden kan hij een beroep doen op het recht van vergetelheid. Op het recht op wissing kan geen beroep worden gedaan als de gegevens door de werkgever zijn verwerkt om aan een wettelijke verplichting te voldoen of noodzakelijk zijn voor een rechtsvordering. Als de persoonsgegevens alleen zijn verstrekt op basis van toestemming en de werknemer trekt deze toestemming in, is de werkgever verplicht om de gegevens te wissen. Overigens zal gegevensverzameling op basis van toestemming door een medewerker niet snel een rechtmatige rechtsgrond opleveren. Dit omdat arbeidskrachten in een afhankelijkheidspositie verkeren en daarom vrije toestemming niet snel aannemelijk is. Het is daarom voor werkgevers verstandig zorg te dragen voor een andere rechtsgrond dan toestemming van de werknemer. Recht op overdracht De werknemer heeft recht op overdracht van persoonsgegevens. Dat betekent dat op verzoek de werkgever deze gegevens aan hem moet verstrekken in een gestructureerde, gangbare en machineleesbare vorm. Als het technisch mogelijk is, mag de arbeidskracht van de werkgever verlangen dat deze de gegevens rechtstreeks overdraagt aan de andere organisatie. Nog een laatste tip: denkt u aan de medezeggenschap? Volgens de Wet op de Ondernemingsraden (WOR) heeft de OR een instemmingsrecht voor elk voorgenomen besluit tot vaststelling, wijziging of intrekking van een regeling omtrent het verwerken -alsmede de bescherming - van de persoonsgegevens van de in de onderneming werkzame personen. Wilt u zeker weten dat uw bedrijf aan de AVG/GDPR voldoet? Of kunt u hulp gebruiken bij het opstellen van een privacyregeling voor het personeelshandboek? Wij volgen de ontwikkelingen over dit onderwerp op de voet. Wilt u meer weten over dit onderwerp of heeft u vragen over de manier waarop Holla Advocaten u kan begeleiden? Neem contact op met onze specialisten Bert van den Boom of Kim de Bonth. Dit artikel is geschreven door Peggie van Vugt, medewerker Wetenschappelijk Bureau van Holla Advocaten.