Privacy op de werkvloer deel III, de 10 stappen die u als werkgever kunt nemen

In deel I en II ben ik ingegaan inhoudelijk ingegaan op de de verplichtingen van de AVG voor werkgevers en het type persoonsgegevens waarop de AVG van toepassing is. In dit laatste deel van het drieluik over de nieuwe privacywetgeving, zal ik belichten welke concrete stappen u als werkgever kan nemen om optimaal voorbereid te zijn als de AVG op 25 mei 2018 in werking treedt.
 
Alle organisaties, waaronder scholen en zorginstellingen, krijgen meer verantwoordelijkheden met betrekking tot de verwerking van hun (bijzondere) persoonsgegevens. Welke concrete stappen moet u als werkgever nemen om te voldoen aan de AVG? Het is zeer belangrijk dat u op tijd voldoet aan deze nieuwe wet. Boetes kunnen namelijk oplopen tot 20 miljoen euro of 4 % van uw totale jaaromzet. Hieronder bespreek ik daarom de 10 stappen die u kan nemen ter voorbereiding, zoals deze worden aangeraden door de Autoriteit Persoonsgegevens (hierna AP). Volgt u deze stappen? Dan kunt u er zeker van zijn dat u op 25 mei 2018 helemaal klaar bent voor de inwerkingtreding van de AVG. U hoeft u dan geen zorgen meer te maken over het risico op een boete.
 
Stap 1: Bewustwording
Zorg dat uw organisatie zich bewust wordt van de impact van de AVG. Het is erg belangrijk dat het personeel van uw organisatie, zeker HR medewerkers of medewerkers met HR taken, op de hoogte zijn van de komst van deze nieuwe wet en de invloed die dit heeft voor de processen in uw organisatie. U kunt denken aan het geven van een presentatie tijdens een personeelsbijeenkomst, waarin voor het personeel duidelijk op een rijtje wordt gezet welke veranderingen er met de AVG voor uw organisatie gaan optreden en wat er allemaal moet gebeuren qua processen en veranderingen in de organisatie.
 
Houd rekening met de tijd die het kost om de processen in uw organisatie ook daadwerkelijk AVG-proof te maken, dit kan namelijk veel vragen van uw werknemers en middelen. Begin hier daarom zo snel mogelijk mee.
 
Stap 2: rechten van betrokkenen
Zorg ervoor dat de mensen van wie u persoonsgegevens verwerkt, goed in staat worden gesteld om zowel hun oude privacyrechten (inzage, correctie en verwijdering van hun gegevens) als hun nieuwe privacyrechten (bijv. dataportabiliteit, intrekken toestemming) uit te oefenen. Mensen kunnen namelijk klachten indienen bij de Autoriteit Persoonsgegevens over de manier hoe u omgaat met hun gegevens.
 
Stap 3: Overzicht verwerkingen
Onder de AVG geldt een verantwoordingsplicht. U zal ten alle tijde moeten kunnen aantonen dat u handelt in overeenstemming met de AVG. Zo dient u een register verwerkingsactiviteiten bij te houden. Het valt dus aan te raden om uw gehele gegevensverwerking in kaart te brengen, waarbij u aangeeft welke persoonsgegevens u verwerkt en met welk doel, waar de gegevens vandaan komen en met wie u de gegevens deelt. Het gegevensregister kunt u voor allerlei controles later nodig hebben, zoals wanneer betrokkenen hun privacyrechten willen uitoefenen en zij u vragen hun gegevens te corrigeren of te verwijderen. U dient deze aanpassingen dan ook door te geven aan de organisaties waarmee u de gegevens gedeeld hebt.
 
Stap 4: DPIA (Data protection impact assessment) DPIA
Sommige organisaties zijn verplicht een DPIA af te nemen. Een DPIA is een instrument om vooraf de privacyrisico’s van gegevensverwerking te achterhalen, zodat u vooraf maatregelen kan treffen om deze te verkleinen. Een DPIA moet worden uitgevoerd op het moment dat uw beoogde gegevensverwerking een hoog privacyrisico in zich draagt. Wanneer dit volgens de AVG zeker het geval is, is als u:

• Systematisch en uitvoerig persoonlijke aspecten evalueert, waaronder profiling;
• Op grote schaal bijzondere persoonsgegevens verwerkt (ziekenhuizen, scholen);
• Op grote schaal en systematisch mensen volgt in een publiek toegankelijk gebied (bijvoorbeeld met cameratoezicht).

Buiten deze drie situaties geeft de AVG nog geen absolute duidelijkheid over wanneer een organisatie aangemerkt kan worden als hoog-risico organisatie op het gebied van gegevensverwerking. Wel hebben de Europese privacy-toezichthouders negen criteria opgesteld om te bepalen of uw organisatie een DPIA zou moeten maken. Het gaat dan om de verwerking van gegevens als: het beoordelen van mensen op basis van persoonskenmerken, geautomatiseerde beslissingen, stelselmatige en grootschalige monitoring, gevoelige gegevens, grootschalige gegevensverwerking, gekoppelde databases, gegevens over kwetsbare personen, gebruik van nieuwe technologieën, blokkering van recht, dienst of contract (bekijk voor een uitleg van deze criteria de website van de Autoriteit Persoonsgegevens).
Ook zal de Autoriteit Persoonsgegevens op den duur een lijst van verwerkingen publiceren waarvoor een DPIA verplicht is. Voor de DPIA geldt tevens een verantwoordingsplicht: ook als u aan geen of één van de criteria voldoet, moet u goed kunnen onderbouwen waarom u wel of geen DPIA heeft afgenomen.
 
Komt uit de DPIA dat uw gegevensverwerking inderdaad een hoog risico heeft en lukt het niet maatregelen te bedenken om dit risico te beperken? Dan dient u te overleggen met de Autoriteit Persoonsgegevens voor u start met de verwerking van de gegevens. De Autoriteit Persoonsgegevens beoordeelt of u in strijd handelt met de AVG. Als dit het geval is ontvangt u van hen een schriftelijk advies voor verbetering van uw systeem.
 
Stap 5: Privacy by design & privacy by default 
Zorg dat uw organisatie bekend raakt met de uitgangspunten van privacy by design en privacy by default. Privacy by design houdt in dat u van tevoren bij het ontwerpen van gegevensverwerking zorgt dat u rekening houdt met de bescherming van de persoonsgegevens en dat u niet meer gegevens verzameld dan noodzakelijk is voor het doel van de verwerking en dat u de gegevens niet langer bewaart dan nodig is. Privacy by default houdt in dat u de nodige maatregelen neemt, zowel technisch als organisatorisch, om ervoor te zorgen dat u alleen die persoonsgegevens verwerkt die noodzakelijk zijn voor het doel dat u wilt bereiken. U kunt dan bijvoorbeeld denken aan het niet vragen van meer gegevens dan nodig voor het te bereiken doel, als iemand zich op uw nieuwsbrief wil abonneren.
 
Stap 6: Functionaris voor gegevensbescherming 
 Bepaal of het verplicht is voor uw organisatie om een functionaris voor de gegevensverwerking (FG) aan te stellen, voor ziekenhuizen en scholen die op grote schaal bijzondere persoonsgegevens verwerken, is dit bijvoorbeeld verplicht. Uiteraard mag u dit ook vrijwillig doen. Wacht niet te lang met het zoeken naar een geschikt iemand.
 
Stap 7: Meldplicht datalekken
Ondanks dat de meldplicht onder de AVG grotendeels hetzelfde blijft, stelt de AVG wel strengere eisen. Nu geldt er slechts een protocolplicht. Vanaf de AVG zal er ook een documentatieplicht van alle datalekken gelden, zodat de Autoriteit persoonsgegevens kan controleren of u aan uw meldplicht voldaan heeft.
 
Stap 8: Verwerkersovereenkomsten
Als u uw gegevensverwerking heeft uitbesteed aan een verwerker (dit heet nu nog ‘bewerker’), dient u te beoordelen of de maatregelen die in de contracten staan nog steeds voldoen aan de AVG. Als dit niet zo is, wijzig deze overeenkomsten dan tijdig.
 
Stap 9: Leidende toezichthouder
 Als uw gegevensverwerking impact heeft op meerdere EU-lidstaten of u vestigingen heeft in meerdere EU-lidstaten, hoeft u onder de AVG nog maar met één privacytoezichthouder zaken te doen; ook wel de leidende toezichthouder genoemd. Bepaal van tevoren onder welke privacytoezichthouder uw organisatie valt.
 
Stap 10: Toestemming
Controleer ook hoe u op dit moment toestemming vraagt en registreert. U moet kunnen aantonen dat u geldige toestemming heeft gekregen en dat het makkelijk is voor mensen om hun toestemming weer in te trekken en te verzoeken om hun gegevens te verwijderen.  
 
Conclusie
Zorg dat u zo snel mogelijk het 10 stappenplan afloopt om u optimaal voor te bereiden op de inwerkingtreding van de AVG. Hierboven heb ik getracht u een kader te geven omtrent de stappen die u als werkgever kan nemen. Mocht u naar aanleiding van deze weblog of het drieluik nog vragen hebben, neem gerust contact met mij op via [email protected].