De AVG voor werkgevers: is uw onderneming er klaar voor?

Vanaf 25 mei 2018 is de Algemene Verordening Gegevensbescherming (AVG) van kracht. Vanaf dat moment geldt er in de hele Europese Unie dezelfde privacy wetgeving en vervalt de Wet bescherming persoonsgegevens (Wbp). Een deel van de huidige rechten en plichten op het gebied van privacy en verwerking van persoonsgegevens blijft hetzelfde, maar de AVG brengt ook een aantal belangrijke wijzigingen met zich mee.

Als werkgever verwerkt u ongemerkt voortdurend persoonsgegevens, bijvoorbeeld bij de aanleg van een personeelsdossier, het gebruik van cameratoezicht en zelfs al bij het registreren van de NAW gegevens van een werknemer. De AVG is daarom ook voor u als werkgever enorm van belang. Hoog tijd om te beoordelen of uw onderneming klaar is voor de komst van de AVG.

Actiepunten voor werkgevers

Informatieplicht

Op basis van de AVG zal de huidige informatieplicht op grond van de Wbp worden uitgebreid. De werkgever zal werknemers op een transparante en begrijpelijke manier moeten informeren over de verwerking van persoonsgegevens binnen de organisatie. De werknemer zal daarbij moeten worden geïnformeerd over:

  • de identiteit en contactgegevens van de werkgever en eventuele derden (zoals het salarisadministratiekantoor);

  • contactgegevens van de eventuele aangewezen functionaris gegevensbescherming;

  • het doel waarvoor de persoonsgegevens worden verwerkt;

  • hoe lang de gegevens worden bewaard;

  • de eventuele ontvangers van de persoonsgegevens;

  • of de gegevens worden getransporteerd naar het buitenland en zo ja, welke maatregelen/waarborgen daarvoor worden getroffen in het kader van de beveiliging van deze gegevens;

  • hoe lang de gegevens worden opgeslagen;

  • zijn rechten onder de AVG.

 

Registratieplicht

De registratieplicht geldt voor alle ondernemingen met meer dan 250 werknemers. De registratieplicht houdt in dat de organisatie een register bij moet houden met alle verwerkingsactiviteiten die onder haar verantwoordelijkheid plaatsvinden. Voor kleinere organisaties geldt deze verplichting alleen als er sprake is van structurele verwerking, wanneer de verwerking van de persoonsgegevens risico’s met zich mee kan brengen voor de werknemer in kwestie of wanneer een organisatie valt binnen een bijzondere categorie.

Functionaris gegevensbescherming

Sommige organisaties zullen daarnaast worden verplicht om een functionaris gegevensbescherming aan te stellen. Deze verplichting rust met name op overheidsinstanties en organisaties die op grote schaal persoonsgegevens verwerken. Voor andere organisaties is het aanstellen van een functionaris optioneel. De functionaris moet worden betrokken bij alle aangelegenheden die binnen een organisatie verband houden met de bescherming van persoonsgegevens en de gelegenheid krijgen om onafhankelijk te adviseren en informeren over de relevante verplichtingen.

Data Protection Impact Assessment

De AVG bevat tot slot specifieke gevallen waarin organisaties een Data Protection Impact Assessment (DPIA) moeten uitvoeren. Een DPIA is verplicht als te verwachten valt dat een bepaalde verwerking van gegevens een hoog privacy-risico oplevert voor de werknemer(s) in kwestie. Dat is bijvoorbeeld het geval wanneer een organisatie op grote schaal bijzondere persoonsgegevens verwerkt, op grote schaal mensen systematisch volgt in een publiek toegankelijk gebied (bijvoorbeeld door middel van cameratoezicht ) of systematisch en uitvoerig persoonlijke aspecten evalueert.

Rechten werknemers

Naast de actiepunten voor werkgevers, moeten organisaties natuurlijk ook rekening houden met de aanvullende rechten van werknemers op grond van de AVG.

Inzagerecht

Het inzagerecht wordt onder de AVG uitgebreid met een recht op kopieën. Als een werknemer kopieën vraagt van de persoonsgegevens die worden verwerkt, bijvoorbeeld van het personeelsdossier, is de werkgever verplicht om deze te verstrekken.

Recht op vergetelheid

Ook het recht op vergetelheid wordt verduidelijkt (en daardoor verruimd) onder de AVG. Op basis van dit recht dienen de gegevens van de werknemer onder andere te worden gewist wanneer de gegevens niet langer nodig zijn voor het doel waarvoor ze zijn verzameld, de werknemer de toestemming voor de verwerking intrekt, de werknemer bezwaar maakt tegen de verwerking, of de persoonsgegevens onrechtmatig zijn verwerkt.

Recht op beperkingen van verwerking

Op grond van de AVG heeft een werknemer straks in sommige gevallen het recht om de verwerking van zijn of haar persoonsgegevens te beperken. Dit geldt bijvoorbeeld als de werknemer de juistheid van de gegevens betwist of als de werkgever de gegevens niet meer nodig heeft om het verwerkingsdoel te bereiken.

Recht van bezwaar

Een werknemer krijgt bovendien in sommige gevallen het recht om bezwaar te maken tegen de verwerking van zijn persoonsgegevens. In die gevallen moet de werkgever direct stoppen met de verwerking van de gegevens, tenzij de noodzaak van de gegevensverwerking door de werkgever zwaarder wegen dan de rechten en vrijheden van de werknemer.

Tot slot

Het is belangrijk dat u zich ervan bewust bent dat wanneer uw organisatie niet voldoet aan de eisen van de AVG, er een aanzienlijke boete kan worden opgelegd. Vanaf 28 mei 2018 kunnen er voor sommige overtredingen - afhankelijk van de omvang van uw organisatie en de ernst van de overtreding - zelfs boetes worden opgelegd tot € 20 miljoen of 4% van de wereldwijde jaaromzet. Deze boetes zijn stukken hoger dan onder de huidige Wbp. Zie hierover ook dit artikel van mijn collega, mr. Aydogmus.

Ook een eventueel in de organisatie aanwezige ondernemingsraad moet vooral niet worden vergeten. De OR heeft immers een instemmingsrecht ten aanzien van regelingen voor het verwerken en beschermen van persoonsgegevens van werknemers.

Heeft u hulp nodig bij het opstellen van een (intern of extern) privacy beleid, het AVG-proof maken van uw personeelsreglement of wilt u graag advies over de gevolgen van de AVG in uw eigen organisatie? Neem dan contact op met een van onze advocaten.

Specialism