Strengere regels gegevensbescherming voor werkgevers

Het recht op privacy is een grondrecht dat bescherming geniet. Medio 2018 wordt de (Europese) Algemene verordening gegevensbescherming (AVG) met strengere regels van kracht. De Wet bescherming persoonsgegevens (Wbp) vervalt dan.

Meer rechten werknemer

De AVG versterkt de positie van ieder van wie gegevens worden verwerkt. Werknemers krijgen nieuwe privacy rechten en hun bestaande rechten worden sterker. Elke organisatie en dus ook de werkgever die persoonsgegevens (zoals naam, gezondheid en loonhoogte) vastlegt en gebruikt, krijgt meer verplichtingen. De werkgever moet kunnen aantonen dat hij zich aan de wet houdt.

Nu al hebben werknemers recht op inzage en op correctie en verwijdering van hun gegevens.  Straks krijgen zij nieuwe rechten: het recht van inzage, het recht op kopie (bijvoorbeeld van het gehele personeelsdossier) en het recht op vergetelheid (na een verzoek om alle persoonsgegevens te verwijderen).

Sancties

De Nederlandse Autoriteit Persoonsgegevens (AP) kan ondernemingen en werkgevers sancties opleggen tot maar liefst 4% van de omzet en dat is een stuk hoger dan de forse boetes die nu al uitgedeeld kunnen worden. Denk dan bijvoorbeeld aan het niet aanstellen van een functionaris voor de gegevensbescherming of het niet op orde hebben van een verwerkingsregister. Maar de boete kan ook opgelegd worden als een datalek niet (tijdig) is gemeld.

Nieuw beleid

Werkgevers doen er goed aan om straks helemaal klaar te zijn voor de AVG. Zo moet de gegevensverwerkingen op tijd in kaart worden gebracht. Welke persoonsgegevens worden verwerkt en met welk doel? Waar komen die gegevens vandaan en met wie worden ze gedeeld? Hoe lang moeten of zullen ze worden bewaard?

Documentatieplicht

De AVG brengt een documentatieplicht mee: aangetoond moet kunnen worden dat de werkgever technisch en organisatorisch handelt in overeenstemming met de AVG, zoals adequate afscherming van gegevens voor degenen die niets met bepaalde persoonsgegevens hoeven. Die plicht kan ook nuttig blijken als werknemers vragen om gegevens te corrigeren of verwijderen, waarbij dan tevens bekend moet zijn met welke organisaties de privacygegevens zijn gedeeld.

Privacy Impact Assessment (PIA)

Onder de AVG kan de werkgever verplicht zijn een zogeheten Privacy Impact Assessment (PIA) uit te voeren. Hiermee kunnen vooraf de privacy risico’s van gegevensverwerking in kaart gebracht worden om maatregelen te kunnen nemen om de risico’s te verkleinen. Een PIA moet worden uitgevoerd als de gegevensverwerking een hoog privacy risico met zich meebrengt, waarbij gedacht moet worden aan de registratie van zeer gevoelige gegevens, zoals over de gezondheid van een langdurig zieke werknemer.

De AP stelt nog een lijst op de verwerkingen die een werkgever dwingen om een PIA uit te voeren.

Meldplicht datalekken

De meldplicht datalekken blijft onder de AVG grotendeels hetzelfde als nu. De AVG stelt wel strengere eisen aan de eigen registratie van datalekken die zich in de organisatie hebben voorgedaan. De werkgever moet alle datalekken documenteren. Met deze documentatie moet de AP kunnen controleren of aan de meldplicht is voldaan.

Functionaris gegevensbescherming

In sommige situaties worden werkgevers verplicht om een Functionaris Gegevensbescherming (FG) aan te stellen, bijvoorbeeld als het tot de kernactiviteit van zijn organisatie behoort om op grote schaal persoonsgegevens te verwerken.

Wilt u hier meer over weten? Neemt u dan contact op met een adviseur van de Adviesgroep Personeel & Salaris.

 

Zoek dichtstbijzijnde locatie

Vul uw plaats of postcode in om de dichtstbijzijnde locatie te vinden.