Privacy: Algemene verordening gegevensbescherming

Bij veel van onze klanten hebben we gemerkt dat privacy en de verwerking van persoonsgegevens vragen oproept. Daarom verstrekken we graag de belangrijkste informatie op dit gebied. We gaan in op de meest gestelde vragen op het gebied van privacy en in het specifiek het kopie identiteitsbewijs, ziekte medewerker, beveiliging persoonsgegevens, meldplicht datalekken en bewaartermijnen. In deze servicemail deel 4, waarbij we ingaan op de Algemene verordening gegevensbescherming (AVG).

De Algemene verordening gegevensbescherming (AVG)

Vanaf 25 mei 2018 geldt nog maar één privacywet in de hele EU: de algemene
verordening gegevensbescherming (AVG). De Wet Bescherming Persoonsgegevens komt hiermee te vervallen. Het uitgangspunt van de AVG is dat persoonsgegevens alleen mogen worden verwerkt wanneer dat strikt noodzakelijk is. Bij overtreding van deze wet kunnen organisaties sancties opgelegd krijgen tot 20 miljoen euro of 4 procent van de wereldwijde jaaromzet van ondernemingen.

Waar moet u zoal rekening mee houden?

Software

Gebruikt u software om persoonsgegevens te verwerken en te bewaren?
Volgens de AVG moeten er zo min mogelijk persoonsgegevens worden verwerkt en moeten zo min mogelijk personen er toegang toe hebben. Vraag uzelf dan ook af: verwerken we met deze applicatie persoonsgegevens? En zo ja, is dat strikt noodzakelijk?

Wanneer u software in de cloud gebruikt, moet u afspraken maken over een privacy-vriendelijke verwerking van persoonsgegevens en deze afspraken vastleggen in een verwerkersovereenkomst.

Er moet worden afgesproken welk soort persoonsgegevens met welk doel door de cloudleverancier worden bewaard, gewijzigd, gebruikt, verspreid of vernietigd. Ook moet worden bepaald welke categorieën van betrokkenen de gegevens mogen zien, hoe de gegevens worden beveiligd en hoe dit wordt gecontroleerd.

Als voorbeelden:

  • Wanneer een receptioniste bijvoorbeeld door een medewerker wordt gebeld die zich ziek wil melden, dan is voor het registeren van de ziekmelding alleen de naam van de medewerker nodig. Het softwaresysteem zou niet de invoervelden van het huisadres of burgerservicenummer moeten tonen.

  • Worden persoonsgegevens op dit moment nog beheerd in Excel en worden bepaalde gegevens zoals het salaris niet getoond door het gebruiken van verborgen kolommen? Iemand met verstand van zaken kan verborgen kolommen zo zichtbaar maken en dan zijn de persoonsgegevens ook zichtbaar voor onbevoegden. Werkt u met een streng geconfigureerd softwaresysteem waarmee gegevens alleen toegankelijk zijn voor de juiste personen, dan speelt dit niet.

  • Uitgangspunt is dat persoonsgegevens alleen mogen worden verwerkt wanneer dat strikt noodzakelijk is. Een vakantieoverzicht hoeft bijvoorbeeld geen burgerservicenummer te vermelden.

Documentatieplicht

Onder de AVG krijgt u een documentatieplicht. U moet met documenten kunnen aantonen dat u de juiste organisatorische en technische maatregelen hebt genomen om aan de AVG te voldoen.

Uitbreiding privacyrechten

Waar medewerkers nu het recht hebben om hun personeelsdossier in te zien, krijgen ze onder de AVG het recht om een kopie van hun personeelsdossier in een standaardformaat te ontvangen, bijvoorbeeld als pdf-bestand.

Toestemming van medewerkers

Wanneer het verwerken van de persoonsgegevens niet strikt noodzakelijk is, moet u expliciet toestemming vragen aan uw medewerkers. Die toestemming
moet duidelijk en afzonderlijk worden gevraagd, bijvoorbeeld via een apart toestemmingsformulier. Het weigeren of intrekken van deze toestemming moet net zo gemakkelijk zijn als het geven van toestemming.

Om bijvoorbeeld de foto van een medewerker te mogen publiceren in een smoelenboek, moet de medewerker eerst expliciet toestemming geven. Pas daarna mag de afdeling HR aan de ICT-afdeling doorgeven dat de foto kan worden geplaatst.

Privacybeleid

Het privacybeleid van een organisatie moet daarnaast voor werknemers toegankelijk zijn. Dat kan door deze regels bijvoorbeeld te beschrijven in het personeelshandboek, of door het mogelijk te maken het privacybeleid op verzoek in te zien.

Het opstellen van nieuwe privacyregels moet zo veel mogelijk gebeuren in overleg met alle betrokken partijen binnen de organisatie. Omdat de ondernemingsraad bovendien instemmingsrecht heeft bij elke beslissing die gaat over de verwerking van persoonsgegevens, is het verstandig om een OR-lid te vragen om standaard zitting te nemen in elke stuurgroep die zich bezighoudt met de uitvoering van de AVG.

Aanstelling Data Protection Officer (DPP)

De AVG stelt een Data Protection Officer, ook wel privacyfunctionaris genoemd, verplicht bij de volgende organisaties:

  • bedrijven in de private sector met meer dan 250 medewerkers;
  • bedrijven in de private sector met als core business het regulier volgen van individuen;
  • overheidsdiensten.

Wat zijn de werkzaamheden van een privacyfunctionaris?

  • toezicht houden;
  • verzamelen van inventarisaties van gegevensverwerkingen;
  • het ontwikkelen van interne regelingen;
  • het bijhouden van meldingen van gegevensverwerkingen;
  • behandeling van vragen en klachten van personeelsleden, klanten, patiënten;
  • voorlichting;
  • adviseren over technologie en beveiliging.

Een privacyfunctionaris moet onafhankelijk te werk kunnen gaan. Hij of zij rapporteert aan de Raad van Bestuur.

Deze stappen adviseren wij met het oog op de AVG:

  • Breng het gebruik van persoonsgegevens binnen uw organisatie in kaart. Letterlijk: welke gegevensstromen of administraties zijn er? Personeelsgegevens, klantgegevens, gegevens van sollicitanten of deelnemers?

  • Voer een privacybeleid in waarmee u inzichtelijk maakt hoe u omgaat met alle persoonsgegevens die binnen uw organisatie worden gebruikt, gedeeld en bewaard.

  • Check alle overeenkomsten die betrekking hebben op het gebruik van persoonsgegevens. Wie zijn de bewerkers, wie zijn de betrokkenen etc. In al deze overeenkomsten dienen de nieuwe verplichtingen en rechten uit de AVG te worden verwerkt.

  • Check of u verplicht bent om een privacyfunctionaris aan te stellen.

Door bovenstaande stappen uit te voeren kunt u straks makkelijker aan de AVG voldoen.

Meer weten over de privacy wetgeving?

Lees ook deel 1, 2 en 3 uit deze serie:

Persoonsgegevens beschermen

Gegevens van zieke medewerkers

Beveiliging Persoonsgegevens

Advies

Wilt u advies van een van onze specialisten over de privacy wetgeving? Klik op de button om het contactformulier in te vullen en wij nemen zo spoedig mogelijk contact met u op.

Contactformulier

Bronnen:

De Autoriteit Persoonsgegevens, HR-kiosk, Visma, privacy-advocaat.nl en Justitia.nl.

Dit artikel geeft een globaal beeld van uw privacyverplichtingen, maar behelst uitdrukkelijk geen juridisch advies. Dit artikel is niet juridisch bindend, noch kunnen hier rechten aan worden ontleend of kan hier enige aansprakelijkheid of verplichting voor Luba uit voortvloeien.

Meer nieuwsitems

1 4 126