Nieuws over arbeidsrecht | Datum: 19 maart 2018 | Auteur: Marlie Idrissou
Nieuwe privacywet vanaf mei 2018
Per 25 mei 2018 wordt de Wet Bescherming Persoonsgegevens (Wbp) vervangen door de Algemene verordening gegevensbescherming (AVG). Met de invoering van de nieuwe wet geldt vanaf mei dezelfde privacyregelgeving in alle Europese landen. Bovendien kunnen eventuele boetes oplopen tot een bedrag van 20 miljoen euro of 4% van de wereldwijde jaaromzet. Dat zou wellicht impliceren dat deze wet niet van toepassing zou zijn op kleine mkb’ers en zzp’ers, doch de wet geldt voor alle organisaties die privégegevens verwerken.
In dit artikel zetten we de belangrijkste veranderingen op een rij.
Rechten van betrokkenen
Belangrijk is dat de betrokkenen onder deze nieuwe wet meer en verbeterde privacyrechten krijgen. Het gaat daarbij om rechten die ook al onder de Wbp vielen, namelijk het recht op inzage, correctie en verwijdering. Het verschil met de nieuwe wet is zij straks ook kunnen eisen dat de organisatie de verwijdering doorgeeft aan alle derde partijen die deze gegevens gekregen hebben. De nieuwe wet kent meer nieuwe rechten.
Het recht op dataportabiliteit geeft betrokkene het recht om hun persoonsgegevens in een standaardformaat te ontvangen. Denk bijvoorbeeld aan een pdf-bestand. Derhalve kunnen voormalige cliënten van bijvoorbeeld een advocatenbureau een kopie eisen waar een nieuw advocatenbureau mee kan werken. Betrokkenen mogen ook op elk moment hun toestemming intrekken. Dit moet even makkelijk zijn als het geven van toestemming.
Ook kunnen betrokkenen bij de Autoriteit Persoonsgegevens klachten indienen op de manier waarop er met hun gegevens wordt omgegaan, welke klachten verplicht zullen moeten worden behandeld.
Toestemming en privacyverklaring
De nieuwe wet AVG stelt strengere eisen aan toestemming van betrokkenen. De werkgever moet kunnen aantonen dat de betrokkene toestemming heeft gegeven voor de verwerking van zijn/haar persoonsgegevens. Het verzoek om toestemming moet in begrijpelijke en gemakkelijke toegankelijke vorm aangeboden worden, én in duidelijke en eenvoudige taal.
De toestemming dient te worden gegeven door middel van een duidelijke actieve handeling. Daarnaast kan de betrokkene de toestemming ieder moment intrekken.
De privacyverklaring van een organisatie moet vanaf mei nog duidelijker zijn. Zo moet ze in volledig en eenvoudige taal uitleggen wat er met de verzamelde persoonlijke gegevens gebeurt. Daarnaast moet de verklaring de rechten van betrokkenen bevatten. Het is raadzaam om de verklaring in ieder geval op de website van de organisatie te plaatsen zodat geïnteresseerden deze snel kunnen raadplegen. Een Interne privacyverklaring kan bijvoorbeeld in de arbeidsovereenkomst opgenomen worden en op het bedrijfsintranet geplaatst worden.
Verantwoordingsplicht
De wet beschrijft meer verplichtingen voor organisaties bij het verwerken van persoonsgegevens. Er wordt meer nadruk gelegd op de verantwoordelijkheid om met documenten aan te tonen dat de organisatie de juiste organisatorische en technische maatregelen heeft genomen om aan de wet te voldoen.
Verwerkingsregister
Onderdeel van de verantwoordingsplicht is het bijhouden van een register van verwerkingsactiviteiten. Dat is bijvoorbeeld nodig wanneer de betrokkende verzoekt om de gegevens te corrigeren of de verwijderen. Er kan derhalve worden verwerkt welke persoonsgegeven worden verwerkt, met welk doel, waar deze gegevens vandaan komen en met wie deze worden gedeeld.
De AVG verplicht bedrijven die meer dan 250 werknemers hebben om een register bij te houden van alle verwerkingen die worden uitgevoerd. Het register bevat de persoonsgegevens die worden bijgehouden en het doel van de verwerkingen.
Bedrijven die minder dan 250 werknemers in dienst hebben, zijn eveneens verplicht om een verwerkingsregister bij te houden, indien:
- De verwerking risico’s inhoudt voor de betrokkenen;
- De verwerking niet incidenteel en dus structureel is;
- Bijzondere of strafrechtelijke persoonsgegevens verwerkt worden.
Gegevensbeschermingseffectbeoordeling (Data protection impact assesment DPIA)
Een organisatie kan verplicht zijn om een DPIA uit te voeren. Een DPIA is alleen verplicht als een gegevensverwerking waarschijnlijk een hoog privacyrisico oplevert voor de betrokkenen. Dat is het geval, indien:
- systematisch en uitvoerig persoonlijke aspecten worden geëvalueerd (bijvoorbeeld profiling);
- op grote schaal bijzondere persoonsgegevens worden verwerkt;
- op grote schaal en systematisch mensen worden gevolgd in een publiek toegankelijk gebied (bijvoorbeeld cameratoezicht).
Wanneer dat zich voordoet, dienen op voorhand de privacyrisico’s van een gegevensverwerking in kaart gebracht dienen te worden. Vervolgens kunnen er maatregelen genomen worden om de risico’s te verkleinen.
Functionaris Gegevensbescherming
Een organisatie kan eveneens verplicht zijn om een Functionaris Gegevensbescherming aan te stellen. Deze Functionaris is een onafhankelijke deskundig persoon die de verwerkingsverantwoordelijke of de verwerker informeert en adviseert over de toepassing van de wet. Er mag zowel extern als intern iemand hiertoe aangesteld worden, maar de functionaris moet uiteraard over de vereiste expertise en vaardigheden beschikken.
Het is verplicht een Functionaris aan te stellen wanneer de organisatie zijn kernactiviteiten bestaat uit het op grote schaal volgen van individuen (bijvoorbeeld profilering van mensen) of het verwerken van bijzondere persoonsgegevens.
Overheidsinstanties en publieke organisaties zijn altijd verplicht om een Functionaris aan te stellen, ongeacht het type gegevens dat ze verwerken.
Documentatie datalek
De huidige meldplicht datalekken blijft grotendeels hetzelfde. Er komen echter wel strengere eisen voor het registreren van datelekken. Deze moeten allemaal gedocumenteerd worden zodat de Autoriteit Persoonsgegevens controles kan uitvoeren. Naast datalekken, moeten ook ‘’triviale zaken’’ zoals de personeelsadministratie of de nieuwsbrief gedocumenteerd worden. Wanneer een datalek een hoog risico vormt voor de betrokkenen, moeten zij hier tevens van op de hoogte gesteld worden.
Aanpassingen doorvoeren binnen de organisatie
Gelet op de bovenstaande veranderingen, zullen er noodzakelijke wijzigingen doorgevoerd moeten worden in de huidige documenten, werkwijzen, statements, contracten e.d.
Twee verplichte uitgangspunten van de wet, privacy by design en privacy by default, kunnen hierbij ingevoerd worden. Privacy by design houdt in dat de organisatie bij het ontwerpen van producten en diensten er al voor zorgt dat de persoonsgegevens goed beschermd worden, er niet meer gegevens worden verzameld dan noodzakelijk is en deze ook niet langer bewaard worden dan nodig. Privacy by default betekent dat er alleen persoonlijke gegevens worden verwerkt voor het specifieke doel door dat ook alvast in de technische applicaties op te nemen. Een voorbeeld daarvan is op de website niet alvast het vakje aanvinken van “ja mijn emailadres mag gebruikt worden voor het toesturen van reclame”.
Wees je er als werkgever van bewust dat deze nieuwe wetgeving derhalve een aantal noodzakelijke wijziging binnen de organisatie met zich mee gaat brengen!
Jay zegt
Beste Marlie,
bedankt voor dit artikel over de AVG) dat aanstaande 25 mei ingaat,
een vraagje, wellicht kun je dit nog even wat meer naar voor halen:
betekent dit dan ook dat je als werknemer, waarvan het arbeidscontract na 25 mei 2018 is beeindigt, kunt vragen om de verwijdering van je persoonsgegevens? Gezien de grote onkunde hierover bij met name werkgevers en werknemers is de toestemming is in veel gevallen niet expliciet in de arbeidscontracten van voor 25 mei 2018 opgenomen.
MfG,
Jay
Tjitske Dijkstra zegt
Geachte heer Jay,
Bedankt voor uw reactie. Een werknemer kan in principe inderdaad vragen om de verwijdering van zijn persoonsgegevens. Het maakt daarbij niet uit of er eerder toestemming is gegeven of niet.
Het recht op vergetelheid houdt in dat organisaties in sommige gevallen persoonsgegevens moeten verwijderen als een betrokkene daarom vraagt. Ook een (oud)werknemer kan hier een beroep op doen. Het recht kan van toepassing zijn wanneer de werkgever de persoonsgegevens niet meer nodig heeft of de wettelijke bewaartermijn is verlopen. Als het om persoonsgegevens gaat waarvoor de werknemer destijds (uitdrukkelijk) toestemming heeft gegeven, kan hij die toestemming weer intrekken. Zodra de toestemming is ingetrokken, moeten ook deze verwijderd worden.
Organisaties zijn onder de AVG verplicht om zo snel mogelijk, uiterlijk binnen een maand, de gegevens te wissen. Slechts in uitzonderlijke gevallen krijgen ze twee maanden de tijd. In dat geval moet de indiener van het verzoek binnen een maand verwittigd worden over de verlenging.
Het kan zijn dat de werkgever niet alle gegevens (meteen) kan verwijderen, omdat hij ze nog nodig heeft voor het nakomen van zijn wettelijke verplichtingen (Belastingwet, …). Zodra de wettelijke bewaartermijn is afgelopen, moeten ook deze gegevens verwijderd worden. De werknemer zou de
werkgever hieraan kunnen herinneren.
Met vriendelijke groet,
Marlie Idrissou