Ondernemende advocaten voor de ondernemer

De AVG: wat moet u daar als werkgever mee?

Per 25 mei a.s. wordt de Wet Bescherming Persoonsgegevens (hierna: Wbp) vervangen door de Algemene Verordening Gegevensbescherming (hierna: AVG). Deze verordening zal in de hele Europese Unie gelden. De sancties op overtreding van de privacyregels zijn fors. De nieuwe regelgeving heeft gevolgen voor u als werkgever. Organisaties met personeel verwerken namelijk altijd persoonsgegevens. Denk bijvoorbeeld aan de opslag van persoonsgegevens van medewerkers door uw HR-afdeling.

De AVG legt meer verantwoordelijkheid bij u als organisatie als het gaat om het naleven van de privacywetgeving.  Met welke veranderingen dient u als werkgever rekening te houden?

Toename verplichtingen werkgever

Ruimere informatieplicht
U moet als werkgever beter vertellen wat er met de persoonsgegevens gebeurt. De werknemer dient onder andere te worden geïnformeerd over:

  • Het doel van de verwerking;
  • De bewaartermijn;
  • Het recht van de werknemer om zijn of haar toestemming in te trekken;
  • Het klachtrecht van de werknemer.

Register van verwerkingsactiviteiten
U bent als werkgever mogelijk verplicht om een register bij te houden van verwerkingsactiviteiten. Daarin wordt vastgelegd welke persoonsgegevens u verwerkt, wat het doel is van de verwerking en voor welke duur deze gegevens worden bewaard. Aan de hand van het register moet u kunnen aantonen dat u voldoet aan de eisen die de AVG stelt.

Aanstellen functionaris gegevensbescherming
Anders dan onder de Wbp, kunt u verplicht zijn om iemand aan te stellen als interne toezichthouder op de verwerking van persoonsgegevens, een zogeheten ‘functionaris gegevensbescherming’. Deze verplichting geldt onder andere als u een overheidsinstantie of publieke organisatie bent. Denk bij publieke organisaties bijvoorbeeld aan zorg- en onderwijsinstellingen.

De functionaris gegevensbescherming moet voldoende kennis van de organisatie en de privacywetgeving hebben. Tevens moet hij of zij, al spreekt dit naar mijn idee voor zich, betrouwbaar zijn. Houd er rekening mee dat deze functionaris gegevensbescherming dezelfde ontslagbescherming heeft als leden van een ondernemingsraad.

Data Protection Impact Assessment (DPIA)
Daarnaast bent u in bepaalde situaties verplicht om een Data Protection Impact Assessment te maken. Dit is bijvoorbeeld zo als de gegevensverwerking, in het bijzonder wanneer nieuwe technologieën worden gebruikt, waarschijnlijk een hoog privacyrisico zal opleveren voor de mensen van wie uw organisatie gegevens wil verwerken.

Een DPIA is in ieder geval verplicht als uw organisatie:

  • systematisch en uitvoerig persoonskenmerken beoordeelt. Een voorbeeld dat de Autoriteit Persoonsgegevens noemt is het bedrijf dat bezoekers van zijn website volgt en op basis daarvan profielen van deze mensen opstelt;
  • op grote schaal bijzondere categorieën van persoonsgegevens of gegevens over strafrechtelijke veroordelingen of strafrechtelijke feiten verwerkt. Voorbeelden zijn een zorginstelling met kwetsbare patiënten, een bank of een internetprovider;
  • stelselmatig en grootschalig mensen volgt in een publiek toegankelijk gebied. Denk aan de inzet van camera’s op de werkvloer of volgsystemen in leaseauto’s.

Meldplicht datalekken
De sinds 1 januari 2016 ingevoerde meldplicht datalekken blijft van kracht. Op basis daarvan bent u als werkgever, onder bepaalde voorwaarden, verplicht om een datalek te melden bij de Autoriteit Persoonsgegevens. Denk hier bijvoorbeeld aan een werknemer die een USB-stick met persoonsgegevens kwijtraakt of een medewerker die per ongeluk alle geadresseerden in de CC zet in plaats van in de BCC.

Toename rechten werknemer

Tegenover de toegenomen verplichtingen voor u als werkgever, staan de toegenomen rechten voor de werknemer. De bestaande rechten worden uitgebreid en werknemers krijgen twee nieuwe rechten. Binnen het arbeidsrecht is relevant dat:

Het recht op inzage is uitgebreid
De werkgever dient de werknemer uitgebreider te informeren over wat er met de persoonsgegevens gebeurt. Daarnaast kan de werknemer een kopie van zijn personeelsdossier opvragen. In het kader daarvan moet de werkgever nagaan of de privacyrechten van derden daarmee niet worden geschonden.

De werknemer een beroep kan doen op het recht van vergetelheid
In bepaalde gevallen moet een organisatie persoonsgegevens verwijderen als een betrokkene, bijvoorbeeld een werknemer, erom vraagt. De AVG kent ook uitzonderingen. Een voorbeeld daarvan is de situatie waarin behoud van de gegevens noodzakelijk is in verband met een rechtsvordering.

De werknemer een beroep kan doen op beperking van de verwerking
In bepaalde gevallen kan de werknemer een (tijdelijk) een beperking van de verwerking van zijn persoonsgegevens krijgen.

Nieuwe privacywetgeving AVG

Breng uw organisatie op tijd in overeenstemming met de nieuwe privacywetgeving. Zo voorkomt u hoge sancties. Let er daarbij op dat indien u een ondernemingsraad heeft, deze een instemmingsrecht kan hebben.

Meer weten?
Heeft u vragen over dit onderwerp? Neem dan gerust contact op met Sabine van Loon.

Lees ook

Antwoord op 5 hamvragen over het recht van inzage in het personeelsdossier
Maaike van Santvoort, 30-10-2018
Arbeidsrecht, Ondernemingsrecht
Sabine van Loon arbeidsrechtadvocaat MannaertsAppels Breda
Welke rol speelt de ondernemingsraad bij uitvoering van de AVG?
Sabine van Loon, 22-08-2018
Arbeidsrecht, Ondernemingsrecht
Madelein van der Velden advocaat arbeidsrecht MannaertsAppels Breda
Hoogste billijke vergoeding tot nu toe: € 628.000!!
Madelein van der Velden, 17-05-2018
Arbeidsrecht