Download dit artikel als PDF 07 februari 2018

Privacywetgeving verandert: opletten geblazen voor werkgevers!

Op 25 mei 2018 treedt de Algemene Verordening Gegevensbescherming (AVG) in werking. Vanaf die datum geldt dezelfde privacywetgeving in de hele Europese Unie. De Wet bescherming persoonsgegevens (Wbp) is dan verleden tijd. De sancties die op grond van de AVG kunnen worden opgelegd in het geval de regelgeving niet (goed) wordt nageleefd zijn fors. Het is daarom belangrijk dat met name werkgevers goed op de hoogte zijn van de vereisten en de gevolgen van de AVG.

Door de AVG krijgen werkgevers meer verplichtingen en werknemers meer rechten bij het verwerken van persoonsgegevens  zoals een naam, adres, telefoonnummer of personeelsnummer. Deze gegevens worden al snel ‘verwerkt’. Zo bent u al bezig met het verwerken van persoonsgegevens wanneer u gegevens verzamelt, opslaat of juist vernietigt. Dit is het geval als een werkgever de gegevens van een werknemer opneemt in een fysiek bestand (bijvoorbeeld een personeelsdossier). Maar denk ook aan de inzet van cameratoezicht op de werkplek of het gebruik van GPS-systemen voor chauffeurs en salesmedewerkers.

Aandachtspunten voor werkgevers
Waar moet u als werkgever met name op letten?

Rechtmatige grondslag
Net als onder de Wbp mag een werkgever enkel tot verwerking van persoonsgegevens overgaan als er ‘een rechtmatige grondslag’ is. Wanneer is dat over het algemeen het geval?

  • Als je toestemming hebt van de werknemer,
  • Als verwerking noodzakelijk is voor de uitvoering van de arbeidsovereenkomst,
  • Als verwerking noodzakelijk is om te voldoen aan een wettelijke verplichting
  • Als sprake is van een ‘gerechtvaardigd belang’ (als het belang van de werkgever bij het verwerken van de persoonsgegevens zwaarder weegt dan het belang van de werknemer bij het niet verwerken ervan).


Let wel: vanwege de gezagsverhouding tussen werkgever en werknemer zal de enkele toestemming van een werknemer voor het verwerken van persoonsgegevens niet altijd voldoende zijn. Zorg er daarom voor dat er tevens een andere rechtmatige grondslag aanwezig is.

Rechten voor werknemers
Werknemers hebben onder meer recht op inzage in de informatie die de werkgever bewaart. Zo mag hij vragen om een kopie van het personeelsdossier. Daarnaast bestaat een recht om bepaalde gegevens ‘vergeten te laten worden’.

Verplichtingen voor werkgever
De werkgever moet de werknemers informeren over hun rechten op privacy-gebied, bijvoorbeeld over de gegevens die worden verwerkt. Daarbij moet ook worden aangegeven waarom en hoe lang dit gebeurt. Ook geldt voor bepaalde werkgevers een documentatieplicht: in dat geval moet er een register worden bijgehouden van de verwerkingsactiviteiten. Daarnaast moet de werkgever er voor zorgen dat de persoonsgegevens – ook digitaal! – goed beveiligd zijn. De meldplicht bij datalekken blijft uiteraard bestaan.

Functionaris gegevensbescherming
Bepaalde werkgevers moeten op grond van de AVG een functionaris voor de gegevensbescherming (FG) instellen. Het gaat dan met name om overheidsinstellingen en organisaties die hoofdzakelijk zijn belast met verwerkingen op grote schaal. Meer in het bijzonder de verwerking van bijzondere persoonsgegevens zoals gezondheidsgegevens. De FG behoort veel te weten over de gegevensverwerking binnen de organisatie, de privacywetgeving en de mogelijke technische en organisatorische mogelijkheden voor (digitale) beveiliging. Hij informeert en adviseert daarover en houdt toezicht op de toepassing en naleving van de AVG binnen de organisatie.

Sancties
De gevolgen van het niet naleven van de AVG kunnen groot zijn. De toezichthouder (Autoriteit Persoonsgegevens) kan bij niet-naleving van de privacyregelgeving boetes opleggen tot wel 20 miljoen euro of maximaal 4% van de wereldwijde jaaromzet!

Advies
Het is werkgevers dus sterk aan te raden zich goed te verdiepen in de AVG. Zorg ervoor dat de relevante personen in de organisatie (vóór 25 mei 2018) op de hoogte zijn van de nieuwe privacyregels. Breng de gegevensverwerkingen in kaart en documenteer welke persoonsgegevens worden verwerkt en met welk doel dit gebeurt. Verlies ook de digitale beveiliging niet uit het oog. Werknemers kunnen wellicht door middel van een algemene informatiebrief (in begrijpelijke taal) of een onderdeel van het personeelsreglement worden geïnformeerd over hun rechten. Uiteraard kunnen wij u daarbij helpen!

Wilt u meer weten over dit onderwerp, dan kunt u contact opnemen met Arvid Munsters van de sectie Arbeid & Medezeggenschap.

Deze blog bevat algemene informatie en is met veel aandacht en zorgvuldigheid geschreven. Juridisch advies is echter altijd maatwerk. Wint u dus in een voorkomend geval altijd deskundig juridisch advies in. (Lees onze disclaimer).