De Wet bescherming persoonsgegevens (Wbp) en de Privacyrichtlijn worden per 25 mei 2018 vervangen door de Algemene Verordening Gegevensbescherming, kortweg ‘de AVG’. Wanneer hebt u hier als werkgever mee te maken?
U heeft er als werkgever vrijwel altijd mee te maken. De regels zijn namelijk van toepassing op het moment dat u persoonsgegevens verwerkt. Een persoonsgegeven heeft betrekking heeft op één specifieke persoon, bijvoorbeeld een naam of een pasfoto. Van verwerken is sprake op het moment dat u iets doet met deze persoonsgegevens. Bij arbeidsrelaties is hier niet aan te ontkomen, omdat werkgevers op grond van arbeids- en belastingwetgeving al verplicht zijn bepaalde persoonsgegevens te verwerken.
Een aantal (belangrijke) aandachtspunten:
Informeer werknemers
Op grond van de AVG hebt u een informatieplicht richting uw werknemers zodra u persoonsgegevens van hen verwerkt. U dient onder andere de volgende informatie te verstrekken:
- Identiteit en contactgegevens van de werkgever, de andere organisaties die in het kader van de arbeidsrelatie persoonsgegevens verwerken (bijv. de arbodienst, verzuimverzekeraar, externe administrateurs, etc.), en - voor zover van toepassing - de functionaris gegevensbescherming (FG).
- Het doel of de doelen waarvoor u de persoonsgegevens verwerkt.
- Of u persoonsgegevens naar het buitenland transporteert en welke waarborgen dat land biedt ter bescherming van het recht op privacy. Hiervan kan sprake zijn als bijv. een kopie van bepaalde personeelsgegevens centraal wordt opgeslagen op een server van het hoofdkantoor in het buitenland.
- Hoe lang de gegevens worden bewaard.
- De rechten die de werknemer heeft met betrekking tot de verwerking van zijn persoonsgegevens. Denk aan het recht op inzage, rectificatie, het recht op het wissen van informatie, het recht om bezwaar te maken en om een klacht in te dienen bij de Autoriteit Persoonsgegevens (AP) en het recht om een eenmaal gegeven toestemming weer in te trekken.
Indien u een personeelshandboek heeft, kan hier een hoofdstuk “Privacy” aan worden toegevoegd waarin u deze informatie verstrekt. Ook met een privacyverklaring kunt u aan deze verplichting voldoen.
Leg vast op welke wijze u persoonsgegevens verwerkt
Verder schrijft de AVG voor dat organisaties moeten registreren op welke wijze zij persoonsgegevens verwerken. Deze documentatieplicht geldt altijd voor werkgevers die 250 werknemers of meer in dienst hebben, maar ook voor werkgevers met een kleiner personeelsbestand kan deze verplichting gelden. Volgens de AVG is dat onder meer het geval als het verwerken van persoonsgegevens ‘niet incidenteel’ is of als de werkgever ook bijzondere persoonsgegevens verwerkt. Dit is niet erg concreet. Van het verwerken van bijzondere persoonsgegevens is al sprake op het moment dat u (documenten met) een pasfoto van de werknemer opslaat.
Naast de registratieverplichting kent de AVG nog de verplichting voor de werkgever om te kunnen aantonen dat de verwerking in overeenstemming met de AVG wordt uitgevoerd.
Met het oog op deze documentatieplicht zullen de hiervoor - in het kader van de informatieplicht - genoemde gegevens ook intern in een register moeten worden vastgelegd. Ook zal moeten worden beschreven welke technische en organisatorische beveiligingsmaatregelen door u zijn getroffen om de privacy te kunnen waarborgen (wordt informatie versleuteld, zijn er wachtwoorden?) Ook zal moeten worden beschreven van wie de gegevens worden verwerkt en om wat voor gegevens het gaat. Dit register kan schriftelijk maar mag ook digitaal worden bijgehouden.
Houd de vinger aan de pols
Hoewel de regels uit hoofde van de AVG inhoudelijk niet veel verschillen van de (huidige) regels onder de Wbp, kan het geen kwaad nog een keer goed te beoordelen of de huidige verwerkingen wel zijn toegestaan. Dit mede met het oog op het verbeuren van hoge boetes als u de wetgeving niet goed toepast. ‘Voorkomen is beter dan genezen.’
Overigens zijn de hier genoemde aandachtspunten niet de enige punten waar u als werkgever rekening mee moet houden. Wilt u meer informatie over dit of over een ander juridisch onderwerp? Neem dan contact op met één van onze advocaten. Wij helpen u graag.