Swipe to the left

Bent u als werkgever klaar voor de AVG?

Print
Bent u als werkgever klaar voor de AVG?

Het zoemt bij veel werkgevers inmiddels al enige tijd ‘de AVG komt eraan, dus pas op!’ Bij de AVG (algemene verordening gegevensbescherming) denken inmiddels veel bedrijven aan strengere privacyregels, hoge boetes en veel werk dat moet worden verzet om in overeenstemming met de komende privacywetgeving te komen. Dat klopt deels ook zeker. Ook voor werkgevers is de nieuwe privacywetgeving van belang. Wat verandert er en wat moet een werkgever doen om aan de AVG te voldoen?

De Wbp wordt vervangen door de AVG

De AVG wordt vanaf 25 mei 2018 om precies te zijn, gehandhaafd (hij geldt al vanaf 2016). Onze huidige privacywetgeving, de Wet bescherming persoonsgegevens (Wbp), komt dan te vervallen. De Wbp is gebaseerd op een Europese richtlijn en moest in de nationale wetgeving van de lidstaten worden geïmplementeerd. De AVG is een Europese verordening en behoeft in die zin geen implementatie, omdat het directe werking heeft in de lidstaten.

Door de AVG worden de regels over privacy in Europa geharmoniseerd en zijn er minder grote verschillen per lidstaat. Met de Wbp is Nederland overigens één van de koplopers in Europa als het gaat om de bescherming van privacy van burgers. De AVG verandert uiteraard wel het nodige, de regels worden strenger en er wordt meer van organisaties verwacht, maar dat zal in Nederland minder schokkend zijn dan in sommige andere Europese landen. De voornaamste veranderingen zijn:

  • de hoge boetes (2% tot 4% van de jaaromzet met een max van 20 miljoen Euro) die bij overtreding van de AVG door de Autoriteit Persoonsgegevens kunnen worden opgelegd,
  • de verantwoordingsplicht van verantwoordelijken, en
  • de uitgebreide rechten van betrokkenen.


De AVG beschermt en waarborgt de privacyrechten van burgers dus verder. Betrokkenen krijgen meer rechten. Onder de Wbp kenden we al het inzagerecht, het recht op correctie en het recht op verzet. Onder de AVG worden deze rechten uitgebreid en aangevuld. Zo krijgen personen ook het recht op overdraagbaarheid van de gegevens en het recht ‘om vergeten te worden’. Dit houdt in dat organisaties verplicht kunnen zijn de gegevens van een persoon te wissen indien daarom wordt verzocht. Daarnaast moet informatie over de verwerking in begrijpelijke taal aan mensen worden uitgelegd voor of tijdens de verwerking. Personen kunnen vragen om beperking van de verwerking en kunnen tegen de verwerking bezwaar maken.

Wat betekent dat nou voor een werkgever, die AVG?

Een verantwoordelijke mag niet meer gegevens registreren en verwerken dan strikt noodzakelijk is. Onder de Wbp hadden organisaties een meldingsplicht als het ging om verwerking van persoonsgegevens (indien er geen vrijstelling was). Met de invoering van de AVG is de verantwoordelijke verplicht:

  • zorgvuldig te documenteren welke gegevens en met welk doel de gegevens worden verwerkt,
  • hoe lang de gegevens worden bewaard, en
  • hoe de beveiliging van de gegevens is vormgegeven.


Al deze informatie moet worden bijgehouden in een verwerkingsregister. Deze plicht geldt in ieder geval voor organisaties waar meer dan 250 medewerkers werken. Ook kleinere organisaties kunnen verplicht worden een verwerkingregister bij te houden indien zij bijvoorbeeld data met een hoog privacyrisico verwerken of als zij bijvoorbeeld bijzondere gegevens (bijvoorbeeld over ras, etnische afkomst, politieke voorkeur, lidmaatschap van een vakbond, genetische, gegevens over de gezondheid of seksuele voorkeur) verwerken. Het in kaart brengen van alle verwerkingsactiviteiten binnen een organisatie, het opstellen van het register en ervoor zorgen dat iedereen conform dat register en de daarin verwoorde beveiliging van gegevens handelt, is veel werk en dat kost tijd. Voordeel van de AVG is wel dat de meldingsplicht komt te vervallen.

De rechten van werknemers

Een werkgever is sowieso verplicht een personeelsadministratie bij te houden. In die personeelsadministratie worden gegevens als naam, adres, telefoonnummer etc. van werknemers geregistreerd. Daarnaast wordt een kopie van het paspoort, het bankrekeningnummer voor het betalen van het salaris, het BSN i.v.m. het afdragen van loonheffingen en andere belastingen geregistreerd. Wellicht wordt er ook nauwkeurig bijgehouden wie wanneer ziek is geweest (registeren wat er (medisch) aan de hand is mag sowieso niet). Een werkgever verwerkt dus veel en deels gevoelige en bijzondere persoonsgegevens van haar werknemers en moet dat vanaf 25 mei 2018 in overeenstemming met de AVG doen. De verwerking moet op een veilige manier gebeuren en er moet een duidelijke grondslag (of toestemming van de werknemer) zijn voor de verwerking. Zorg voor goede IT-beveiliging en zorg ervoor dat alleen mensen die er echt wat mee moeten, bijvoorbeeld de HR-manager, bij de gevoelige informatie van werknemers kan.

De werknemer heeft het recht om uiteindelijk vergeten te worden, maar dat zal niet direct mogelijk zijn.

De werknemer heeft straks niet alleen recht op inzage in zijn personeelsdossier, hij heeft ook recht om dit dossier in kopie te krijgen of, indien het dossier digitaal is, het dossier mee te krijgen (het recht op dataportabiliteit). Daarnaast, als het dienstverband is geëindigd, heeft de werknemer recht om uiteindelijk vergeten te worden, maar dat zal niet direct mogelijk zijn. Een werkgever heeft immers ook te maken met een wettelijke bewaarplicht als het gaat om bepaalde gegevens, bijvoorbeeld belastinggegevens. Voor een werkgever is het dus raadzaam om nu alvast na te denken over hoe de rechten van werknemers onder de AVG vorm worden gegeven en hoe dit straks wordt uitgewerkt in bijvoorbeeld protocollen of handleidingen. Als het verzoek dan komt, weet iedereen wat er moet gebeuren en hoe kan worden getoetst of aan het verzoek van de betrokkene kan worden voldaan (bijv. in verband met de geldende bewaartermijnen).

Ook hebben werknemers recht op duidelijke en begrijpbare informatievoorziening. Informeer de werknemer daarom bij indiensttreding of bij wijziging van de verwerking van de persoonsgegevens en de rechten die werknemers hebben. Een kleine moeite en dan is het direct voor iedereen duidelijk.

Datalekken

Iedere verantwoordelijke, dus ook een werkgever, is verplicht om te zorgen voor een goede beveiliging van alle (persoons)gegevens die worden verwerkt. Soms gaat het echter toch mis en ontstaat er een datalek. Ook nu moet een verantwoordelijke datalekken melden. Ook vanaf 25 mei 2018 moeten datalekken zo spoedig mogelijk en binnen 72 uur gemeld worden aan de Autoriteit Persoonsgegevens en mogelijk ook aan de betrokkene. Een werkgever zal ook een protocol voor hoe om te gaan met een datalek moeten uitwerken, zodat direct en efficiënt kan worden gehandeld mocht er onverhoopt een datalek ontstaan.

Werk aan de winkel?

U heeft als organisatie en als werkgever nog enkele maanden om uw organisatie ‘AVG-proof’ te maken in het geval u dat nog niet helemaal bent. Mogelijk bent u verplicht een verwerkingsregister op te stellen en bij te houden. Verkijk u niet op de hoeveelheid tijd, geld en energie dat dit kost. Daarnaast moet u in beginsel de rechten van uw (ex)werknemers inwilligen als zij daarom verzoeken. Het is raadzaam nu reeds in kaart te brengen welke rechten de werknemers hebben en hoe daaraan gehoor kan worden gegeven.

Wilt u meer Sdu blogs lezen over arbeidsrecht? Volg Sdu blog.

Deze blog bevat algemene informatie en is met veel aandacht en zorgvuldigheid geschreven. Juridisch advies is altijd maatwerk. De informatie in dit blog heeft een louter informatief karakter en kan dan ook niet als juridisch advies worden gezien. Indien u vragen heeft of nadere informatie wenst, kunt u altijd contact opnemen met Lawwise Advocaten.


Posted in: ArbeidsrechtPrivacy