Ook geen zin in een boete van 10 miljoen? De nieuwe Privacywet AVG en de werknemer: Doen!

Ook geen zin in een boete van 10 miljoen? De nieuwe Privacywet AVG en de werknemer: Doen!

Per 25 mei aanstaande geldt de nieuwe Algemene Verordening Gegevensbescherming (AVG), ook wel bekend als de nieuwe privacywet of de GDPR. De Wet bescherming persoonsgegevens komt dan te vervallen. Per die datum loopt u als onderneming het risico een boete te krijgen van de Autoriteit Persoonsgegevens van maar liefst 10 miljoen! Sterker nog er kan zelfs een boete van maximaal 20 miljoen of 4% van je wereldwijde jaaromzet worden opgelegd. Liever voorkomen dan genezen? In dit deel wordt uitgelegd wat u kunt doen als het gaat om de AVG en het opslaan en verwerken van de persoonsgegevens van werknemers.

In de basis dienen persoonsgegevens op een rechtmatige, behoorlijke en transparante wijze te worden verwerkt. Daarbij moeten de doelen van verwerking uitdrukkelijk worden omschreven en uiteraard moeten deze gerechtvaardigd zijn. De gegevens die worden verzameld moeten juist zijn en enkel beperkt tot wat noodzakelijk is voor het doel. De gegevens moeten op een dusdanige manier worden verwerkt dat zij goed zijn beschermd tegen ongeoorloofde en onrechtmatige verwerking, onopzettelijk verlies, vernietiging of beschadiging. Daarvoor moeten passende technische of organisatorische maatregelen worden genomen. Wordt niet voldaan aan deze basisregels dan is de hoogte van de boete zelfs 20 miljoen (ja je leest het goed!). Dat is geen kattenpis en zal voor veel ondernemingen de doodsteek betekenen. Hoe kunnen we deze basis nu concreter maken voor ondernemers?

Uiteraard heeft deze nieuwe regelgeving betrekking op alle persoonsgegevens, zoals van klanten, werknemers, leveranciers, etc. In dit deel wordt ingegaan op de gegevens van werknemers. De Autoriteit Persoonsgegevens is de toezichthouder in Nederland op deze wetgeving. Zij heeft een stappenplan opgesteld om te kunnen voldoen aan de regels:

Stap 1: Bewustwording

Stap 2: Recht van betrokkenen

Stap 3: Overzicht verwerkingen

Stap 4: Data Protection Impact Assessment (DPIA)

Stap 5: Privacy by design & Privacy by default

Stap 6: Functionaris voor de gegevensbescherming

Stap 7: Meldplicht datalekken

Stap 8: Bewerkersovereenkomsten

Stap 9: Leidende toezichthouder

Stap 10: Toestemming

Stap 1

Stel de betrokken werknemers (en toekomstige of tijdelijke werknemers) op de hoogte van de nieuwe privacyregels. Stel bijvoorbeeld een memo op, maar nog beter: maak een privacybeleid en/of gedragscode (of pas deze aan) en laat deze ondertekenen. Dit kan natuurlijk onderdeel uitmaken van het personeelshandboek. Wat zet je in zo’n beleid of code?

Stap 2

Zet in het beleid of gedragscode welke rechten de werknemers hebben. Dit zijn: het recht op inzage, op correctie, verwijdering, beperking van de verwerking, op bezwaar/klacht en het recht op overdraagbaarheid van gegevens.

Stap 3

Breng de gegevensverwerking in de organisatie in kaart. Noteer (in het beleid of gedragscode) welke persoonsgegevens verwerkt worden, met welk doel dat gebeurt, waar de gegevens vandaag komen, wat de wettelijke grondslag is en met wie ze worden gedeeld. Als u werknemers in dienst heeft was u al wettelijk verplicht een personeelsadministratie te voeren. In deze personeelsadministratie moet u nu echter ook een zogenoemd Register gegevensverwerking opstellen. In dit register verwerkt u welke gegevens worden opgeslagen, wie daar mee werkt, hoe lang de gegevens bewaart blijven, wat het doel is van de verwerking, etc. Dit is dus goed te combineren met het beleid of gedragscode in een personeelshandboek.

Met ingang van 25 mei 2018 is het niet meer nodig dat organisaties de gegevensverwerking melden bij de Autoriteit Persoonsgegevens. In plaats daarvan moet iedere ondernemer kunnen aantonen dat de juiste organisatorische en technische maatregelen zijn genomen om aan deze AVG te voldoen. Een grote bewijslast! Persoonsgegevens die worden opgeslagen in bijvoorbeeld Excel, dat kan dus niet meer. Zorg daarnaast bijvoorbeeld voor een extra geheimhoudingsclausule in de arbeidsovereenkomst voor de werknemers die met persoonsgegevens werken, zoals bijvoorbeeld personeelszaken. Ook is het verstandig in de arbeidsovereenkomst die u gebruikt aan te geven welke gegevens u vastlegt en met welk doel (denk bijvoorbeeld ook aan pasfoto’s voor op de ondernemingswebsite).

Stap 4

Niet alle ondernemingen hoeven een DPIA uit te voeren. Wanneer wel? Als de beoogde gegevensverwerking waarschijnlijk een hoog privacy risico met zich meebrengt. De Autoriteit Persoonsgegevens zal later nog een lijst verstrekken van verwerkingen waarvoor een DPIA verplicht is. Voor nu blijkt uit de richtlijnen een DPIA voor ondernemingen met werknemers verplicht kan zijn. Het gaat namelijk over het verwerken van gegevens over kwetsbare personen. In dit kader zijn de werknemers kwetsbare personen aangezien sprake is van een ongelijke machtsverhouding. Daarnaast worden vaak ook gegevens verwerkt over bijvoorbeeld politieke opvattingen, gegevens over gezondheid, lidmaatschap van een vakbond, etc. Dit zijn bijzondere persoonsgegevens waarvoor tevens een extra grondslag voor nodig is. Zoals een wettelijke verplichting of een overeenkomst (bijvoorbeeld in dit geval op het gebied van het arbeidsrecht en het sociale zekerheidsrecht).

Blijkt uit de DPIA dat er inderdaad een hoog risico is en het lukt niet om maatregelen te vinden om de risico’s te beperken, dan moet de onderneming met de Autoriteit Persoonsgegevens overleggen. Zij geeft dan aan op er sprake is van strijd met de AVG.

Als je toch niet kiest om een DPIA uit te voeren dan is het belangrijk goed vast te leggen en te onderbouwen waarom dat de keuze is.

Stap 5

Privacy bij design houdt in dat al bij het ontwerpen van producten en dienst ervoor wordt gezorgd dat persoonsgegevens goed worden beschermd. Privacy bij default betekent dat de organisatie technische en organisatorische maatregelen moet nemen om ervoor te zorgen dat, alléén persoonsgegevens verwerkt worden die noodzakelijk zijn voor het specifieke doel dat de onderneming wenst te bereiken. Dus zorg voor een goed systeem of software (en beveiliging) en gebruik geen excelsheetjes meer. Ook wanneer een ondernemer software in de cloud gebruikt, moeten afspraken worden gemaakt over privacyvriendelijke verwerking van persoonsgegevens en deze afspraken worden vastgelegd in een ver- of bewerkersovereenkomst (zie ook stap 8).

Stap 6

Sommige ondernemingen zijn verplicht een functionaris voor de gegevensverwerking (FP) aan te stellen. Hier kan ook vrijwillig voor worden gekozen. Deze functionaris houdt binnen de organisatie toezicht op de naleving en toepassing van de AVG. Wanneer is het verplicht? Als de onderneming op grote schaal bijzondere persoonsgegevens verkrijgt of bewerkt (als corebusiness) of hoofdzakelijk is belast met verwerkingen van regelmatige en stelselmatige observatie van betrokkenen op grote schaal (of als sprake is van een overheidsinstelling of publieke organisatie). Een groep van ondernemingen kan één functionaris benoemen.

Deze functionaris moet worden aangewezen (instemmingsrecht van OR of PVT). Dit geldt voor de persoon én zijn of haar taken. Deze functionaris kan bijvoorbeeld een personeelslid zijn van de onderneming (als verantwoordelijke) of van de verwerker, maar kan ook extern worden ingehuurd.  De contactgegevens moeten worden medegedeeld aan de Autoriteit Persoonsgegevens. Daarnaast moet de functionaris zijn of haar taken onafhankelijk vervullen en behoort zij of hij geen instructies te ontvangen van de ondernemer of de verwerker.

Kies je niet voor een functionaris voor gegevensverwerking zorg dan voor een goede onderbouwing en leg die vast.

Stap 7

Een onderneming moet direct een melding doen bij de Autoriteit Persoonsgegevens als ze een ernstig datalek hebben. In sommige gevallen moeten ook de personen worden geïnformeerd van wie de gegevens zijn gelekt. Alle datalekken moeten gedocumenteerd worden. Aan de hand van deze documentatie moet de Autoriteit Persoonsgegevens kunnen controleren of de onderneming aan de meldplicht heeft voldaan.

Stap 8

Als de gegevensverwerking wordt uitbesteed aan een bewerker ofwel verwerker check dan de huidige overeenkomst of zorg voor een aanvulling in de contracten. Ook deze moeten namelijk voldoen aan de vereisten in de AVG. Denk daarbij bijvoorbeeld aan het uitbesteden van de salarisverwerking of sollicitatieprocedure (ook de sollicitanten moeten overigens op de hoogte worden gesteld van de verwerking van hun persoonsgegevens en de bewaartermijn).

Stap 9

De leidende toezichthouder houdt in dat er in de EU nog maar één privacytoezichthouder is voor het geval een onderneming meerdere vestigingen heeft in verschillende EU-lidstaten.

Stap 10

Zorg dat je op papier hebt staan dat je een geldige toestemming hebt verkregen van mensen om hun persoonsgegevens te verwerken. Deze mensen hebben namelijk ook het recht om hun toestemming in te trekken. Overigens is een toestemming van een werknemer niet geldig aangezien hier sprake is van een ongelijke machtsverhouding.

Kortom, wat staat u te doen:

  • Stel je werknemers (tijdelijk, vast, uitzend, sollicitanten, etc.) op de hoogte:
  • Zorg voor een personeelshandboek met daarin een privacybeleid/gedragscode (en Register gegevensverwerking), met daarin:
    • welke rechten de werknemers hebben;
    • welke persoonsgegevens verwerkt worden;
    • met welk doel dat gebeurt;
    • waar de gegevens vandaag komen;
    • wat de (wettelijke) grondslag is;
    • met wie ze worden gedeeld;
    • wie daar mee werkt;
    • hoe lang de gegevens bewaart blijven.
  • Kijk de huidige arbeidsovereenkomst na en wijzig deze of vul deze aan:
    • Neem op welke gegevens worden verwerkt en met welk doel
    • Is een extra geheimhoudingsclausule nodig?
  • Voer of laat een DPIA uitvoeren (of leg minimaal vast waarom je dat niet doet).
  • Zorg voor een goed systeem of software en beveiliging. Of check of het huidige systeem/software/beveiliging nog voldoet.
  • Stel een FP aan (of leg minimaal vast waarom je dat niet doet).
  • Laat de OR of PVT instemmen met:
    • de taken en de persoon van de FP
    • bij de regelingen voor het verwerken van persoonsgegevens van werknemers en voor personeelvolgsystemen
    • bij het uitvoeren van de DPIA
    • met het personeelshandboek/ gedragscode/ privacybeleid
  • Zorg voor goede overeenkomsten met externe gegevensverwerkers, zoals salarisverwerkers en bij sollicatieprocedures.

De nieuwe wetgeving geldt voor alle organisaties die persoonsgegevens verwerken. Dus ook voor kleine mkb’ers (en zzp’ers) die gegevens verwerken! Nogmaals het belang is groot: minimaal 10 miljoen…

Heb je na het lezen van deze blog nog vragen over deze nieuwe wetgeving en wat die voor jouw onderneming betekent? Of wil je graag hulp, een check van je huidige overeenkomsten/ personeelshandboek, of een voorbeeld van een gedragscode? Laat het weten: info@fifthadvocatuur.nl.