Swipe to the left

AVG-proof worden? To-do-list voor werkgevers

Print
AVG-proof worden? To-do-list voor werkgevers

Het hot topic is: de Algemene Verordening Gegevensverwerking (de AVG). De AVG is sinds 25 mei 2016 van kracht en wordt, zo het ernaar uitziet, vanaf 28 mei 2018 gehandhaafd. Ondernemersorganisaties VNO-NCW en MKB-Nederland hebben weliswaar verzocht handhaving uit te stellen, maar tot nu toe is geen gehoor gegeven aan dat verzoek.

Belangrijke veranderingen die de AVG gaat brengen

Belangrijke veranderingen zijn dat: (a) het begrip ‘persoonsgegevens is uitgebreid,(b) de meldplicht van verwerking van persoonsgegevens is vervallen, (c) de rechten van betrokkenen zijn uitgebreid,(d) er een meldplicht voor datalekken geldt voor heel Europa. Sommige ondernemingen geldt dat zij verplicht zijn een (e) data protection impact assessment (DPIA) uit te voeren en, (f) een in/externe functionaris voor de gegevensbescherming (FG) moeten aanstellen.

AVG: veel voorkomende to do's voor werkgevers

In de praktijkmerk ik dat veel ondernemingen (groot, midden en klein) nog niet(helemaal) klaar zijn. Wat zijn veelvoorkomende to do’s voor werkgeverof de HR-manager?
  • Formuleren van een helder en begrijpelijk privacyprotocol(len) zodat kenbaar is voor medewerkers wat zij moeten doen. Bijvoorbeeld:
    • Hoe moeten bij de onderneming werkzame personen (werknemers, stagiaires, uitzendkrachten, freelancers) omgaan met het verwerken van persoonsgegevens van klanten, leveranciers en collega’s?
    • Hoe lang worden bepaalde persoonsgegevens van medewerkers bewaard?
    • Wat is de interne procedure als er een datalek is? (bijvoorbeeld bij verlies van een mobiel of laptop of tablet)
    • Wat is de procedure als een medewerker/sollicitant verzoekt om inzage, correctie, verwijdering of blokkering?
    • Wat zijn de regels met betrekking tot het monitoren van medewerkers door bijvoorbeeld cameratoezicht of track & trace-systemen?
    • Wat is de procedure om te controleren of de genomen privacymaatregelen in de praktijk uitgevoerd worden?
  • Controleren of opstellen van verwerkersovereenkomsten met de partijen die persoonsgegevens van werknemers verwerken. Denk aan de systeembeheerder van de personeels- en salarisadministratie, de arbodienst en het pensioenfonds.
  • Ontwikkel een trainingscyclus; medewerkers moeten zich bewust worden en doordrongen blijven van de privacy wet- en regelgeving. Als werkgever moet je er rekening mee houden dat zelfs ervaren medewerkers na verloop van tijd niet steeds zich bewust zijn van het beleid.
  • Registreren (expliciete) toestemming van medewerkers: veel bedrijven maken gebruik van intranet of plaatsen berichten of foto’s op hun website of op social media. Zeker voor foto’s maar ook voor (persoonlijke) berichten moet de betrokken persoon expliciet toestemming geven.
  • Werkafspraken maken met medezeggenschap en FG (voor zover aanwezig): De ondernemingsraad heeft instemmingsrecht als het gaat om verwerking van persoonsgegevens van in de onderneming werkzame personen. Op welk moment worden de ondernemingsraad en de FG betrokken? En is het noodzakelijk om een vast overlegmoment tussen de ondernemer, ondernemingsraad en FG te plannen om het inrichten en implementeren van het nieuwe privacy beleid te bespreken.


Lees verder onder de afbeelding
Sdu Arbeidsrecht

Checklist AVG: wat te doen vóór 25 mei

Sdu Arbeidsrecht praat u verder bij over privacy in het algemeen en over privacy op de werkvloer. Maak ook gebruik van de praktische checklist praktische checklist AVG – gegevensverwerking door werkgevers. Wat te doen vóór 25 mei 2018? van Janine Weel en Rachel Rietveld om te controleren of je als werkgever voldoet aan de AVG.


Over Charlotte van den Dungen
Charlotte van den Dungen studeerde Nederlands (privaat)recht aan de Universiteit Utrecht en maakt onderdeel uit van het team van EMR advocaten. Zij heeft ruime ervaring in de advies- en procespraktijk. Zij adviseert zowel werkgevers als werknemers in arbeidsrechtelijke kwesties in de breedste zin des woords. Daarnaast is Charlotte vakredacteur van Sdu Arbeidsrecht.

Posted in: ArbeidsrechtPrivacy