Vanaf 25 mei 2018 treedt de Algemene Verordening Gegevensbescherming (AVG) in werking. Deze verordening geldt rechtstreeks voor alle landen in de EU en vervangt de huidige Wet beveiliging persoonsgegevens (WBG). Met de inwerkingtreding van de AVG gelden een aantal (nieuwe) verplichtingen voor organisaties die persoonsgegevens verwerken. Ook werkgevers dienen zich aan de AVG te houden. Hieronder ga ik in op de belangrijkste verplichtingen voor werkgevers.
Registratieplicht Voor organisaties met meer dan 250 werknemers, organisaties die aan risicovolle of structurele verwerking van persoonsgegevens doen en organisaties die bijzondere persoonsgegevens verwerken, geldt een registratieplicht. Deze plicht houdt in dat de organisatie aan de hand van documentatie, een overzicht moet maken waarin de verwerking van persoonsgegevens wordt bijgehouden en inzichtelijk wordt gemaakt. Ook moet worden opgenomen wat het doel en de grondslag is van de verwerking van de gegevens en welke maatregelen genomen zijn ter beveiliging van het verwerkingsproces. Kortom, de organisatie moet kunnen aantonen dat de juiste maatregelen genomen zijn om te voldoen aan de AVG. Functionaris voor gegevensbescherming Op het moment dat een organisatie grootschalig bijzondere persoonsgegevens verwerkt (bijvoorbeeld een ziekenhuis), kan het zijn dat er een verplichting bestaat om een functionaris voor gegevensbescherming aan te stellen. Deze functionaris dient een natuurlijk persoon te zijn. Privacy by design Ook moet voldaan worden aan het vereiste van privacy by design. De verwerking van persoonsgegevens dient geoptimaliseerd te worden. Dit houdt in dat de software in de organisatie geschikt moet zijn om de privacy van persoonsgegevens te waarborgen. Toestemming werknemers De organisatie moet kunnen bewijzen dat de werknemer expliciet toestemming heeft gegeven voor het verwerken van zijn persoonsgegevens. Dit toestemmingsvereiste gold ook al onder de WBG maar is in de verordening verder aangescherpt. Zo moet de werknemer in duidelijke en begrijpelijke taal worden geïnformeerd voor welke gegevensverwerking de toestemming precies bedoeld is en wat het doel is van die gegevensverwerking. De toestemming van de werknemer moet vervolgens, ondubbelzinnig en vrijwillig gegeven worden door middel van een actieve handeling van de werknemer. Tevens moet de werknemer op de hoogte worden gebracht dat hij de gegeven toestemming ook weer kan intrekken. Het intrekken van de toestemming moet net zo makkelijk zijn als het geven van toestemming. Datalekken Net als de WBG, kent de AVG een meldingsplicht bij datalekken. Een datalek is een inbreuk op de beveiligde persoonsgegevens, welke leidt tot een ongeoorloofde verwerking van deze gegevens (bijvoorbeeld verlies of diefstal van persoonsgegevens door hacking). Indien sprake is van een datalek moet binnen 72 uur melding gemaakt worden bij de Autoriteit Persoonsgegevens. Ik raad organisaties daarom aan om een duidelijk procedure in het leven te roepen waarin omschreven wordt, welke stappen genomen dienen te worden in het geval van een datalek. Boeterisico De Autoriteit Persoonsgegevens kan sinds de AVG sneller boetes opleggen aan organisaties als de regels van de AVG niet worden nageleefd. Zo is er geen opzet of ernstig verwijtbare nalatigheid meer nodig om een boete op te leggen. Ook kunnen de boetes hoger zijn dan voorheen; zij kunnen oplopen tot 20 miljoen euro of 4% van de wereldwijde jaaromzet. Het is dus voor werkgevers van belang de nodige maatregelen te treffen om te voldaan aan de vereisten van de AVG. Conclusie De regels omtrent de privacy bij verwerking persoonsgegevens van werknemers zijn behoorlijk aangescherpt. Voor werkgevers is met name relevant dat voor sommige organisaties een registratieplicht geldt en er een verplichting kan gelden om een functionaris gegevensbescherming aan te stellen. Ook moet er rekening gehouden worden met vereiste van privacy by design, de meldingsplicht bij een datalek, de strengere eisen die gesteld worden aan het toestemmingsvereiste omtrent verwerking van persoonsgegevens van de werknemer en het risico op een boete wanneer de vereisten van de AVG niet zijn nageleefd. In deel I van dit drieluik zal ik ingaan op de vraag welke persoonsgegevens nu precies voor welk doel verwerkt kunnen worden.
0 Comments
Your comment will be posted after it is approved.
Leave a Reply. |
Auteur
Kim van Berkel Archieven
June 2021
Categorieën
|