In deel I en II ben ik ingegaan inhoudelijk ingegaan op de de verplichtingen van de AVG voor werkgevers en het type persoonsgegevens waarop de AVG van toepassing is. In dit laatste deel van het drieluik over de nieuwe privacywetgeving, zal ik belichten welke concrete stappen u als werkgever kan nemen om optimaal voorbereid te zijn als de AVG op 25 mei 2018 in werking treedt.
 
Alle organisaties, waaronder scholen en zorginstellingen, krijgen meer verantwoordelijkheden met betrekking tot de verwerking van hun (bijzondere) persoonsgegevens. Welke concrete stappen moet u als werkgever nemen om te voldoen aan de AVG? Het is zeer belangrijk dat u op tijd voldoet aan deze nieuwe wet. Boetes kunnen namelijk oplopen tot 20 miljoen euro of 4 % van uw totale jaaromzet. Hieronder bespreek ik daarom de 10 stappen die u kan nemen ter voorbereiding, zoals deze worden aangeraden door de Autoriteit Persoonsgegevens (hierna AP). Volgt u deze stappen? Dan kunt u er zeker van zijn dat u op 25 mei 2018 helemaal klaar bent voor de inwerkingtreding van de AVG. U hoeft u dan geen zorgen meer te maken over het risico op een boete.
 
Stap 1: Bewustwording
Zorg dat uw organisatie zich bewust wordt van de impact van de AVG. Het is erg belangrijk dat het personeel van uw organisatie, zeker HR medewerkers of medewerkers met HR taken, op de hoogte zijn van de komst van deze nieuwe wet en de invloed die dit heeft voor de processen in uw organisatie. U kunt denken aan het geven van een presentatie tijdens een personeelsbijeenkomst, waarin voor het personeel duidelijk op een rijtje wordt gezet welke veranderingen er met de AVG voor uw organisatie gaan optreden en wat er allemaal moet gebeuren qua processen en veranderingen in de organisatie.
 
Houd rekening met de tijd die het kost om de processen in uw organisatie ook daadwerkelijk AVG-proof te maken, dit kan namelijk veel vragen van uw werknemers en middelen. Begin hier daarom zo snel mogelijk mee.
 
Stap 2: rechten van betrokkenen
Zorg ervoor dat de mensen van wie u persoonsgegevens verwerkt, goed in staat worden gesteld om zowel hun oude privacyrechten (inzage, correctie en verwijdering van hun gegevens) als hun nieuwe privacyrechten (bijv. dataportabiliteit, intrekken toestemming) uit te oefenen. Mensen kunnen namelijk klachten indienen bij de Autoriteit Persoonsgegevens over de manier hoe u omgaat met hun gegevens.
 
Stap 3: Overzicht verwerkingen
Onder de AVG geldt een verantwoordingsplicht. U zal ten alle tijde moeten kunnen aantonen dat u handelt in overeenstemming met de AVG. Zo dient u een register verwerkingsactiviteiten bij te houden. Het valt dus aan te raden om uw gehele gegevensverwerking in kaart te brengen, waarbij u aangeeft welke persoonsgegevens u verwerkt en met welk doel, waar de gegevens vandaan komen en met wie u de gegevens deelt. Het gegevensregister kunt u voor allerlei controles later nodig hebben, zoals wanneer betrokkenen hun privacyrechten willen uitoefenen en zij u vragen hun gegevens te corrigeren of te verwijderen. U dient deze aanpassingen dan ook door te geven aan de organisaties waarmee u de gegevens gedeeld hebt.
 
Stap 4: DPIA (Data protection impact assessment) DPIA
Sommige organisaties zijn verplicht een DPIA af te nemen. Een DPIA is een instrument om vooraf de privacyrisico’s van gegevensverwerking te achterhalen, zodat u vooraf maatregelen kan treffen om deze te verkleinen. Een DPIA moet worden uitgevoerd op het moment dat uw beoogde gegevensverwerking een hoog privacyrisico in zich draagt. Wanneer dit volgens de AVG zeker het geval is, is als u:

• Systematisch en uitvoerig persoonlijke aspecten evalueert, waaronder profiling;
• Op grote schaal bijzondere persoonsgegevens verwerkt (ziekenhuizen, scholen);
• Op grote schaal en systematisch mensen volgt in een publiek toegankelijk gebied (bijvoorbeeld met cameratoezicht).

Buiten deze drie situaties geeft de AVG nog geen absolute duidelijkheid over wanneer een organisatie aangemerkt kan worden als hoog-risico organisatie op het gebied van gegevensverwerking. Wel hebben de Europese privacy-toezichthouders negen criteria opgesteld om te bepalen of uw organisatie een DPIA zou moeten maken. Het gaat dan om de verwerking van gegevens als: het beoordelen van mensen op basis van persoonskenmerken, geautomatiseerde beslissingen, stelselmatige en grootschalige monitoring, gevoelige gegevens, grootschalige gegevensverwerking, gekoppelde databases, gegevens over kwetsbare personen, gebruik van nieuwe technologieën, blokkering van recht, dienst of contract (bekijk voor een uitleg van deze criteria de website van de Autoriteit Persoonsgegevens).
Ook zal de Autoriteit Persoonsgegevens op den duur een lijst van verwerkingen publiceren waarvoor een DPIA verplicht is. Voor de DPIA geldt tevens een verantwoordingsplicht: ook als u aan geen of één van de criteria voldoet, moet u goed kunnen onderbouwen waarom u wel of geen DPIA heeft afgenomen.
 
Komt uit de DPIA dat uw gegevensverwerking inderdaad een hoog risico heeft en lukt het niet maatregelen te bedenken om dit risico te beperken? Dan dient u te overleggen met de Autoriteit Persoonsgegevens voor u start met de verwerking van de gegevens. De Autoriteit Persoonsgegevens beoordeelt of u in strijd handelt met de AVG. Als dit het geval is ontvangt u van hen een schriftelijk advies voor verbetering van uw systeem.
 
Stap 5: Privacy by design & privacy by default 
Zorg dat uw organisatie bekend raakt met de uitgangspunten van privacy by design en privacy by default. Privacy by design houdt in dat u van tevoren bij het ontwerpen van gegevensverwerking zorgt dat u rekening houdt met de bescherming van de persoonsgegevens en dat u niet meer gegevens verzameld dan noodzakelijk is voor het doel van de verwerking en dat u de gegevens niet langer bewaart dan nodig is. Privacy by default houdt in dat u de nodige maatregelen neemt, zowel technisch als organisatorisch, om ervoor te zorgen dat u alleen die persoonsgegevens verwerkt die noodzakelijk zijn voor het doel dat u wilt bereiken. U kunt dan bijvoorbeeld denken aan het niet vragen van meer gegevens dan nodig voor het te bereiken doel, als iemand zich op uw nieuwsbrief wil abonneren.
 
Stap 6: Functionaris voor gegevensbescherming 
 Bepaal of het verplicht is voor uw organisatie om een functionaris voor de gegevensverwerking (FG) aan te stellen, voor ziekenhuizen en scholen die op grote schaal bijzondere persoonsgegevens verwerken, is dit bijvoorbeeld verplicht. Uiteraard mag u dit ook vrijwillig doen. Wacht niet te lang met het zoeken naar een geschikt iemand.
 
Stap 7: Meldplicht datalekken
Ondanks dat de meldplicht onder de AVG grotendeels hetzelfde blijft, stelt de AVG wel strengere eisen. Nu geldt er slechts een protocolplicht. Vanaf de AVG zal er ook een documentatieplicht van alle datalekken gelden, zodat de Autoriteit persoonsgegevens kan controleren of u aan uw meldplicht voldaan heeft.
 
Stap 8: Verwerkersovereenkomsten
Als u uw gegevensverwerking heeft uitbesteed aan een verwerker (dit heet nu nog ‘bewerker’), dient u te beoordelen of de maatregelen die in de contracten staan nog steeds voldoen aan de AVG. Als dit niet zo is, wijzig deze overeenkomsten dan tijdig.
 
Stap 9: Leidende toezichthouder
 Als uw gegevensverwerking impact heeft op meerdere EU-lidstaten of u vestigingen heeft in meerdere EU-lidstaten, hoeft u onder de AVG nog maar met één privacytoezichthouder zaken te doen; ook wel de leidende toezichthouder genoemd. Bepaal van tevoren onder welke privacytoezichthouder uw organisatie valt.
 
Stap 10: Toestemming
Controleer ook hoe u op dit moment toestemming vraagt en registreert. U moet kunnen aantonen dat u geldige toestemming heeft gekregen en dat het makkelijk is voor mensen om hun toestemming weer in te trekken en te verzoeken om hun gegevens te verwijderen.  
 
Conclusie
Zorg dat u zo snel mogelijk het 10 stappenplan afloopt om u optimaal voor te bereiden op de inwerkingtreding van de AVG. Hierboven heb ik getracht u een kader te geven omtrent de stappen die u als werkgever kan nemen. Mocht u naar aanleiding van deze weblog of het drieluik nog vragen hebben, neem gerust contact met mij op via info@hrlegalvisie.nl.

In deel I van dit drieluik ben ik ingegaan op de strenge eisen die de Algemene Verordening Gegevensbescherming (hierna te noemen: “AVG”) aan u als werkgever stelt. In dit deel bespreek ik welke persoonsgegevens, voor welk doel, verwerkt mogen worden.
 
Persoonsgegevens
 
Er is sprake van een ‘persoonsgegeven’ als u via het desbetreffende gegeven de identiteit van een werknemer direct of zonder veel inspanning, vast kan stellen.
De AVG maakt onderscheid tussen algemene persoonsgegevens en bijzondere persoonsgegevens. Voor het verwerken van bijzondere persoonsgegevens gelden strengere eisen dan voor het verwerken van algemene persoonsgegevens. Bij algemene persoonsgegevens kan bijvoorbeeld gedacht worden aan de NAW- gegevens van de werknemer.  
 
Bijzondere persoonsgegevens
 
Onder bijzondere persoonsgegevens worden gegevens verstaan die wat gevoeliger liggen. Het moet gaan om gegevens omtrent:
 

• Politieke voorkeur
  
• Gezondheid
• Seksualiteit
• Lidmaatschap van een vakbond
• Strafrechtelijk verleden

 
Het verwerken van deze bijzondere persoonsgegevens is in principe verboden, tenzij er een wettelijke uitzondering geldt. Deze uitzonderingen zijn te vinden in artikel 9 lid 2 AVG.  
 
Wettelijke grondslagen voor verwerking persoonsgegevens  
 
In de AVG worden vier wettelijke grondslagen genoemd voor de verwerking van persoonsgegevens in zijn algemeenheid;  
 

1. Toestemming van de werknemer is een grond waarop persoonsgegevens rechtmatig doorgevoerd kunnen worden. Met name als het gaat om bijzondere persoonsgegevens is het belangrijk dat de toestemming expliciet door de werknemer gegeven wordt en dat dit gedocumenteerd wordt. Op die manier heeft een werkgever schriftelijk bewijs van de toestemming. Ook moet het doel van de gegevensverwerking duidelijk kenbaar worden gemaakt. Denk hier bijvoorbeeld aan het gebruik van een vingerafdruk om het gebouw in te komen. U kan de werknemer in zo’n geval het beste een schriftelijke verklaring laten afleggen waarin hij expliciet en specifiek toestemming verleent om de vingerafdruk te verwerken. Let u hierbij op dat de toestemming niet te algemeen is en echt specifiek ziet op (in dit geval) de vingerafdruk.
2. De uitvoering van een overeenkomst waar betrokkene partij bij is, kan een rechtmatige grondslag zijn voor het verwerken van persoonsgegevens. Denk hierbij aan de situatie dat het uitvoeren van de overeenkomst niet mogelijk is zonder de gegevens door te voeren. Bijvoorbeeld als iemand lid wil worden van een vereniging waar contributie moet worden betaald. Het IBAN-nummer en de tenaamstelling is dan noodzakelijk om de overeenkomst tot uitvoering te brengen.
3. De noodzaak om aan bepaalde wettelijke verplichting te voldoen is ook een rechtmatige grondslag. Bijvoorbeeld als gegevens ingediend moeten worden bij de belastingdienst omdat er loonbelasting voor een werknemer betaald moet worden.
4. De verwerking van persoonsgegevens kan ook gerechtvaardigd zijn op het moment dat er sprake is van een gerechtvaardigd belang. Bijvoorbeeld als een onderzoek wordt gehouden om te bekijken in welke stad mensen het gelukkigst wonen en voor dit onderzoek postcode en huisnummer vereist zijn. Het belang van de werkgever dient in zo’n geval dus groter te zijn dan dat van de werknemer.

 
In de praktijk
 
Om als werkgever zeker te weten dat u voldoet aan de eisen van de AVG, kan u het beste de volgende drie stappen volgen:
 

1. Inventariseer welke persoonsgegevens tot nu toe verwerkt worden in uw bedrijf
2. Inventariseer welke gegevens daarvan aan te merken zijn als ‘bijzondere’ persoonsgegevens.
3. Inventariseer of de verwerking van de persoonsgegevens berust op een rechtsgeldige wettelijke grondslag. Let op dat de verwerking van de bijzondere persoonsgegevens dienen te vallen onder één van de wettelijke uitzonderingen van artikel 9 lid 2 AVG.

 
Als u tot de conclusie komt dat aan bovenste drie vereisten voldaan is, kan u ervan uitgaan dat u voldoet aan de AVG-vereisten.  
 
Conclusie
 
Om te voldoen aan de eisen die de AVG stelt aan de verwerking van persoonsgegevens, moet u goed kijken of de verwerking berust op een wettelijke grondslag. Daarnaast dient u te beoordelen of de gegevens die u verwerkt, zijn aan te merken als algemene persoonsgegevens of als bijzondere persoonsgegevens. Voor het verwerken van bijzondere persoonsgegevens gelden namelijk strengere eisen. In deel III van dit drieluik zal ik de concrete stappen die u als werkgever moet nemen om te voldoen aan de AVG nog een keer duidelijk op een rij zetten.