Per 25 mei 2018 is de Algemene verordening gegevensbescherming (AVG) van toepassing in de gehele Europese Unie, waardoor het privacybeleid van organisaties flink aangescherpt moet worden. Het is belangrijk om aan de eisen te voldoen, omdat er hoge boetes tegenover staan wanneer u er niet aan voldoet; maximaal 20 miljoen euro of 4% van uw wereldwijde jaaromzet. In dit artikel leest u meer over hoe uw organisatie zich kan voorbereiden.
Algemene verordening gegevensbescherming (AVG)
De Wet bescherming persoonsgegevens (Wbp) geldt binnenkort niet meer. Daar komt de AVG voor in de plaats. Het doel van deze verordening is om burgers beter te beschermen tegen onvrijwillige verwerking van hun gegevens en de regels die gelden voor het verwerken van persoonsgegevens te harmoniseren.
Organisaties krijgen meer verantwoordelijkheden en verplichtingen wanneer zij gegevens van bijvoorbeeld klanten en personeel verwerken. Onder verwerken valt onder andere het verzamelen, raadplegen, opslaan en gebruiken van persoonsgegevens. Er is dus al snel sprake van verwerking. Het gaat er bij de AVG vooral om dat u inzichtelijk kunt maken hoe u met persoonsgegevens omgaat. Daarbij zijn de volgende actiepunten van belang.
Belangrijke AVG actiepunten voor organisaties
- Bepaal welke persoonsgegevens u verwerkt;
In de eerste plaats dient u vast te stellen welke gegevens u verzamelt van betrokkenen (personeel, klanten, contactpersonen, etc.). Denk aan adresgegevens, het BSN-nummer en bankgegevens. - Beoordeel of u een rechtmatige grondslag voor verwerking hebt;
Voor elke verwerking van een persoonsgegeven dient u te bekijken of u daar een rechtmatige grondslag voor heeft. Er zijn zes mogelijke grondslagen waarop u zich kunt baseren. Een van deze grondslagen is ‘toestemming’. Wanneer u toestemming heeft van de betrokkene, is verwerking van zijn/haar persoonsgegevens in principe toegestaan. Maar ook dat geldt niet altijd, bijvoorbeeld in een arbeidsrelatie waarbij er sprake is van een gezagsverhouding. Bovendien zijn aan het hebben van ‘toestemming’ strenge voorwaarden verbonden. In het voorbeeld hierna leggen we dat uit.
Overige grondslagen zijn bijvoorbeeld dat de verwerking van persoonsgegevens noodzakelijk is voor het voldoen aan een wettelijke verplichting of noodzakelijk is voor het uitvoeren van een overeenkomst. - Bepaal het doel van de verwerking en leg dit vast;
Voor elk persoonsgegeven moet u aangeven met welk doel u dit verwerkt. Al uw gegevensverwerkingen dient u in kaart te brengen en vast te leggen in een verwerkingsregister. Hier hoort bijvoorbeeld in te staan waar de gegevens vandaan komen, waar ze opgeslagen staan en hoe deze beveiligd worden. - Start met bewustwording AVG en voldoe aan de basisbeginselen van gegevensbescherming.
Neem kennis van de AVG of laat u hierover voorlichten. Zorg er in ieder geval voor dat u aan de basisbeginselen voldoet. Zo mag u bijvoorbeeld niet meer gegevens verzamelen dan nodig is. Ook dient u deze gegevens niet langer te bewaren dan noodzakelijk en te zorgen voor adequate beveiliging hiervan. Daarnaast heeft een betrokkene van wie u gegevens verwerkt recht op inzage, correctie en vergetelheid. Tot slot dragen organisaties een verantwoordingsplicht, waarbij procedures en protocollen moeten worden ontwikkeld over wat te doen bij bijvoorbeeld datalekken.
Voorbeelden van veelvoorkomende problemen
Aan de hand van twee voorbeelden leggen wij hieronder uit hoe onschuldige situaties toch erg privacygevoelig kunnen zijn:
Voorbeeld 1: (online) smoelenboek en foto’s op de website
Bijna elke organisatie heeft er wel één; een smoelenboek. Daarnaast komt het regelmatig voor dat de werknemers met een foto op de website staan om het team te presenteren. Een foto is een algemeen persoonsgegeven. Voor de verwerking van de foto is een rechtmatige grondslag nodig. De grondslag ‘toestemming’ is hierbij problematisch, doordat er een gezagsverhouding is binnen de arbeidsrelatie. Zo kan een werknemer, die liever niet met een foto op de website wil staan, zich onder druk gezet voelen omdat het weigeren daarvan negatieve consequenties zou kunnen hebben. Hierdoor kan er niet gesproken worden van een vrij gegeven toestemming, zoals de AVG dit wel vereist. Daarom kan een werkgever zich beter richten op de grondslag ‘gerechtvaardigd belang’, omdat zij op marketinggebied er belang bij kan hebben dat haar personeel op de website staat. Echter, in het geval dat de werknemer zich beroept op zijn privacybescherming, zal de rechter waarschijnlijk het recht op privacy zwaarder vinden wegen dan het recht op marketing.
Voorbeeld 2: gezondheidsgegevens
Voor werkgevers is het alleen onder strikte voorwaarden toegestaan om gezondheidsgegevens van hun personeel te verwerken. Wanneer een werknemer ziek is en aan de werkgever een e-mail stuurt om aan te geven dat hij buikgriep heeft en niet naar het werk kan komen, is dit een verwerking van gezondheidsgegevens. U mag maar een beperkt aantal zaken vragen en registreren bij een ziekmelding. Bijvoorbeeld de vermoedelijke duur van het verzuim en of de ziekte verband houdt met een arbeidsongeval. De oorzaak van de ziekte mag u echter niet verwerken. Dit mag slechts de bedrijfsarts doen, maar ook deze mag dit niet doorspelen naar de werkgever. De eerder genoemde e-mail van de zieke werknemer dient de werkgever dus te verwijderen.
AVG check voor werkgevers
Wij kunnen ons voorstellen dat de nieuwe wetgeving uitgebreid en ingewikkeld is. Misschien weet u niet waar u moet beginnen. Hier kunnen wij u bij helpen. Voor werkgevers hebben wij een speciale AVG check ontwikkeld. Door vier online vragenlijsten inventariseren wij in hoeverre u al aan de AVG voldoet en op welke punten u nog maatregelen moet treffen. U ontvangt van ons:
Meer weten over privacy voor werkgevers?
Lees meer op onze privacy pagina of neem contact op met een privacy advocaat van Hendrikx Advocaten.