De Algemene Verordening Gegevensbescherming: kansen en uitdagingen

Zeven vragen over de nieuwe Europese privacyregels

Eind mei treedt de Algemene Verordening Gegevensbescherming (AVG) in werking. Alle organisaties die persoonsgegevens verwerken, groot én klein, krijgen dan te maken met allerlei nieuwe verplichtingen. Dit betekent dat zij een hoop werk moeten verzetten. Maar de Europese privacyregels bieden ook een kans om uw organisatie intern en extern neer te zetten als een professionele partij die het maatschappelijk belang van gegevensbescherming begrijpt. Zeven vragen over de AVG.

Tekst
Astrid Zuidinga
Henri Lepoutre
Illustratie
Studio Vonq

Waarom nieuwe Europese privacyregels?

Het klassieke grond- en mensenrecht privacy komt steeds meer in de verdrukking. Dat komt door de snelle technologische ontwikkelingen, de commerciële belangen die daarmee zijn gemoeid en de nadruk op de bescherming van de (inter)nationale veiligheid. Gegevensbescherming gaat over individuele én collectieve belangen. De Algemene Verordening Gegevensbescherming (AVG) beoogt deze belangen te beschermen. De AVG is een verordening van de Europese Unie. Dat betekent dat de regels rechtstreeks gelden in alle lidstaten, zonder dat omzetting in nationale wetgeving nodig is.

Wat zijn de hoofdpunten van de AVG?

Persoonsgegevens zijn alle gegevens die, direct of indirect, herleidbaar zijn tot een individu. In Nederland is de bescherming van deze gegevens nu nog geregeld in de Wet bescherming persoonsgegevens (Wbp). Deze wet vervalt op 25 mei, als de AVG in werking treedt. De inhoud van de Wbp is grotendeels overgenomen in de AVG.
De belangrijkste aanvullingen zijn:

  • verantwoordingsplicht van de organisatie die persoonsgegevens verwerkt (zogeheten accountability)
  • ruimere rechten voor individuen (met grotere verplichtingen voor de organisatie als keerzijde)
  • verruiming van de aansprakelijkheid van de organisatie die persoonsgegevens verwerkt
  • meldingsplicht voor inbreuken (datalekken)
  • versterking van het toezicht en de handhaving, in Nederland door de Autoriteit Persoonsgegevens (AP).

De AVG noemt limitatief zes gronden waarop het is toegestaan om persoonsgegevens te verzamelen,te delen en op te slaan (kortweg: verwerken). Als geen van deze gronden aanwezig is, is dit verboden. In de praktijk zijn de belangrijkste gronden:

  • expliciete toestemming (informed consent) van de betrokkene: de individuele burger of werknemer van wie de persoonsgegevens worden verwerkt
  • uitvoering van een overeenkomst
  • een wettelijke verplichting
  • een gerechtvaardigd belang van de organisatie bij de verwerking van de persoonsgegevens. Dit is de restcategorie, waarbij het aankomt op een afweging van de belangen van de verwerkende organisatie en die van de betrokkenen.

Uw reputatie kan een deuk oplopen als er discussie ontstaat over de wijze waarop u met persoonsgegevens omgaat

Welke persoonsgegevens mag ik verwerken?

Een organisatie mag alleen persoonsgegevens verwerken voor een specifiek, vastgesteld doel. U mag deze gegevens ook niet langer bewaren dan nodig is voor dat doel. Dit betekent dat u intern goed moet nagaan welke gegevens u verwerkt en of daarvoor specifieke bewaartermijnen gelden. Bijzondere persoonsgegevens over bijvoorbeeld gezondheid/ziekte, ras, religie, seksuele voorkeuren, politieke overtuiging en vakbondslidmaatschap vormen een aparte categorie. Hiervoor gelden veel strengere eisen. Het voert te ver om daar in dit artikel nader op in te gaan. Maar u moet zich wel realiseren dat de manier waarop werkgevers omgaan met de gegevens van zieke werknemers, in veel gevallen niet toelaatbaar is. Wij zien daarvan in de praktijk regelmatig voorbeelden. Op de website van de AP staan de beleidsregels voor zieke werknemers. Hierin kunt u nalezen wat wel en niet mag.

Wat is het verwerkingenregister?

Onder de AVG legt elke organisatie achteraf verantwoording af over de manier waarop zij omgaat met persoonsgegevens. De verwerking moet zorgvuldig zijn. Daarnaast moet de digitale bescherming bij de tijd zijn en in verhouding staan tot de gevoeligheid en de risico’s van de verwerking. Om verantwoording te kunnen afleggen, moeten ondernemingen een verwerkingen-register bijhouden. Online, in Word of in Excel. Hierin leggen zij onder meer vast welke gegevens ze verwerken, voor welk doel, hoe lang ze de gegevens bewaren, hoe ze beveiligd zijn en of ze de gegevens doorgeven aan derden. Dit is een hele klus voor bedrijven. Sommige hebben dit al voor een groot deel op orde. Helaas blijkt uit gesprekken met onze leden ook dat veel bedrijven nog niet zo ver zijn of zelfs nog geen begin gemaakt hebben met de inventarisatie. Ons advies is om hiermee niet te wachten. Het is immers zo 25 mei. En vanaf dat moment moet u in beginsel een verwerkingenregister hebben als u minimaal 250 werknemers in dienst heeft of wanneer u structureel gegevens verwerkt. Ook voor kleinere ondernemingen kan het handig zijn om een verwerkingenregister te maken. Dit helpt om in beeld te brengen waar u staat en wat er nog moet gebeuren.

De verplichtingen uit de AVG raken iedere organisatie. Ze zijn belangrijk. Verdiep u er dus in. Laat u adviseren, en vooral ook: wees u ervan bewust dat het formuleren van beleid en het invoeren van maatregelen op het vlak van privacy kunnen vallen onder het instemmingsrecht van de ondernemingsraad. Blijf de ontwikkelingen volgen, ook na 25 mei 2018. Actualiseer regelmatig uw interne privacybeleid, privacystatement, verwerkingenregister en informatiebeveiliging. Hoe dan ook is het belangrijk om uw medewerkers te informeren over de nieuwe wettelijke regels en hen bewust te maken van het belang van privacy en de bescherming van persoonsgegevens. Zij zijn een belangrijke schakel als het gaat om de vraag of uw organisatie wel compliant is, ofwel aan de wettelijke regels voldoet. U heeft hen dus om meerdere redenen hard nodig.

Wat zijn de gevolgen van de AVG voor de dagelijkse praktijk?

De ‘verantwoordingsplicht’ van de AVG bestaat uit drie onderdelen. Ten eerste moet u duidelijk communiceren met alle betrokkenen, zoals uw werknemers, klanten en leveranciers. Stel goede algemene of persoonlijke privacy-statements op: hoe gaat ons bedrijf online en offline om met persoonsgegevens? Zo zorgt u dat de betrokkenen op de hoogte zijn en eventueel bezwaar kunnen maken. Daarnaast moet u intern beleid vastleggen voor het verwerken van persoonsgegevens. Hierin beschrijft u bijvoorbeeld de procedure bij data-lekken en de technische en organisatorische maatregelen die u treft om persoonsgegevens te beschermen. Tot slot moet u de verwerkingen gedetailleerd vastleggen in een register. Betrokkenen hebben het recht om eigen gegevens in te zien, te laten corrigeren, te laten wissen, of de verwerking te staken. Ze kunnen ook een klacht indienen bij de AP of bij de rechtbank een eis indienen tot vergoeding van materiële of immateriële schade. Het bedrijf dat de persoonsgegevens op eigen verantwoordelijkheid verwerkt – en dus niet in opdracht van een andere partij – kan aansprakelijk worden gesteld voor deze schade. Grotere organisaties (en alle overheidsinstanties) moeten een functionaris gegevensbescherming benoemen. Dat kan een eigen medewerker zijn (voor de gehele werkweek of een deel daarvan) of een externe dienstverlener. Deze functionaris adviseert en rapporteert over de naleving van de AVG en is het aanspreekpunt voor de AP.

Welke sancties kan de AP opleggen?

De bevoegdheden van de AP zijn verruimd en het budget is verdubbeld. De toezichthouder kan controles uitvoeren op eigen initiatief of naar aanleiding van een klacht. De AP heeft het recht van toegang tot het bedrijf en recht op alle gevraagde informatie. U moet bij een controle medewerking verlenen aan het onderzoek. De AP mag de onderzoeksresultaten publiceren op haar website. Als de AP een tekortkoming constateert in de verwerking van persoonsgegevens, is een waarschuwing de lichtste sanctie. De toezichthouder kan ook overgaan tot een ‘last onder dwangsom’. Dan moet u bijvoorbeeld de verwerking aanpassen of staken of alsnog een verwerkingenregister opstellen, op straffe van een dwangsom. In uiterste gevallen kan de AP de onderneming een administratieve boete opleggen. Die moet in verhouding staan tot de omvang van de overtreding en de draagkracht van het bedrijf, maar de wettelijke maxima zijn afschrikwekkend: 20 miljoen euro of 4 procent van de omzet. Deze weerspiegelen het maatschappelijk belang van de bescherming van persoonsgegevens. Bedenk ook dat uw reputatie een deuk kan oplopen als er discussie ontstaat over de wijze waarop u met persoonsgegevens omgaat. En imagoschade heeft soms verstrekkende gevolgen.

Wat is de rol van de ondernemingsraad?

De ondernemingsraad heeft instemmingsrecht bij het invoeren, wijzigen of intrekken van regelingen rond het verwerken en de bescherming van persoonsgegevens. De komst van de AVG leidt zeer waarschijnlijk tot de hier bedoelde ‘wijziging van beleid’. Het instemmingsrecht geldt ook wanneer de werkgever een regeling wil invoeren of aanpassen die gaat over voorzieningen die gericht zijn of geschikt zijn voor waarneming van of controle op aanwezigheid, gedrag of prestaties van werkenden. Deze laatste categorie zien werkgevers in de praktijk nog weleens over het hoofd.
Bij ‘waarneming’ gaat het om regelingen rond het verzamelen, bewaren, gebruiken en beveiligen van persoonsgegevens van de medewerkers. Denk bijvoorbeeld aan een nieuw systeem voor de personeelsadministratie of salarisverwerking. Bij ‘controle’ gaat het onder meer om systemen voor aanwezigheidsregistratie, boordcomputers of cameratoezicht. Niet-correcte naleving van de AVG en de Wet op de Ondernemingsraden kan voor werkgevers overigens ook consequenties hebben in arbeidsrechtelijke procedures. Zo heeft het Europese Hof voor de Rechten van de Mens (EHRM) onlangs bepaald dat het gebruik van verborgen camera’s door een werkgever niet verder mag gaan dan strikt noodzakelijk (in dit geval was er langdurig gefilmd) en dat werknemers hierover moeten worden geïnformeerd. Het EHRM oordeelde al eerder dat werkgevers hun werknemers vooraf moeten informeren wanneer zij hun e-mail en internetgebruik willen monitoren. Rechters in Nederland houden rekening met dit soort internationale uitspraken.

Dienstverlening AWVN

AWVN-leden die hun beleid willen laten toetsen, ondersteuning wensen bij het opstellen van beleidsregels of hulp wensen bij een medezeggenschapstraject in het kader van privacy/bescherming van persoonsgegevens, kunnen contact opnemen met onze experts op dit terrein.​
Leden met vragen over privacy en de bescherming van persoonsgegevens die geen relatie hebben met werkgeverschap, kan AWVN wellicht via haar netwerk in contact brengen met andere deskundige partijen.

AWVN draagt de kennis over bescherming van persoonsgegevens over aan werkgevers onder andere via de volgende cursussen:
Privacy en werk op dinsdag 10 april
Snel op weg met de voorbereiding Vanzelfsprekend zijn voor bedrijven en brancheorganisaties maatwerkcursussen (incompany) mogelijk.

Op de website van AWVN vindt u nog veel meer informatie over privacy in relatie tot werk onder actuele HR-issues.

 

Astrid Zuidinga
is advocaat bij AWVN-advocaten
 
 
 
 
Henri Lepoutre
werkt bij AWVN als adviseur juridische zaken

Geplaatst op 26 maart 2018