Zo voldoet u aan de nieuwe Privacy Verordening

0 Flares 0 Flares ×

Ook op de werkplek heeft de werknemer recht op privacy. De werkgever krijgt al snel te maken met deze privacyregels als persoonsgegevens worden verwerkt. Persoonsgegevens zijn alle gegevens die betrekking hebben op een geïdentificeerde of identificeerbare natuurlijke persoon. Een werkgever verwerkt op veel manieren persoonsgegevens. Voorbeelden zijn de salarisadministratie, de ziekteverzuimadministratie en controle op e-mail en internetgebruik van werknemers. En in de sollicitatiefase worden persoonsgegevens verwerkt van sollicitanten. Op 25 mei 2018 zal een nieuwe Europese Privacy Verordening van kracht worden die beoogt om de privacy van de Europese burger nog beter te beschermen. Een belangrijke nieuwe regel is de Verantwoordingsplicht. Iedere organisatie zal aan de hand van documenten moeten aantonen dat bij het verwerken van persoonsgegevens de privacyregels worden nageleefd. Overtreding van de regelgeving kan een deuk geven in de reputatie en de Autoriteit Persoonsgegevens (“AP”) die toezicht houdt kan boetes opleggen van maximaal 20 miljoen Euro of 4% van de wereldwijde omzet. Dit laatste wordt door sommige advocaten aangegrepen om ondernemers bang te maken om zo hun diensten te verkopen. Ons kantoor doet hier niet aan mee. De AP wil ondernemers helpen om de privacywetgeving na te leven en heeft nooit als doel gehad om hoge boetes uit te delen. Uit het verleden blijkt dat de AP eerder een last onder dwangsom oplegt dan een hoge boete.  Het is natuurlijk wel zaak voor werkgevers om actie te ondernemen zodat de gegevensverwerking voldoet aan de nieuwe regels.

Op grond van de nieuwe Privacy Verordening zullen werkgevers onder meer de volgende maatregelen moeten nemen:

1.Register van Verwerkingsactiviteiten bijhouden
Vrijwel iedere organisatie zal een schriftelijk of elektronisch Register van Verwerkingsactiviteiten moeten bijhouden. Hierin staat onder meer welke persoonsgegevens worden verwerkt, voor welk doel de persoonsgegevens worden verwerkt en een algemene omschrijving van de beveiligingsmiddelen. Ook moet worden aangegeven of gegevens naar het buitenland worden getransporteerd en hoe lang gegevens worden bewaard. De Verordening is op dit laatste punt helaas niet duidelijk en schrijft kortgezegd voor dat gegevens niet langer mogen worden bewaard dan nodig is. In ieder geval geldt dat op grond van de belastingwetgeving de salarisadministratie zeven jaar moet worden bewaard. Te verwachten valt dat de bewaartermijn voor de personeelsadministratie van twee jaar (tenzij een andere wettelijke termijn geldt) op grond van het Vrijstellingsbesluit Wbp ook na 25 mei 2018 zal gelden.

2. Betrokkene (de mensen van wie de organisatie gegevens verwerkt) tijdig informeren over het verwerken van zijn/haar persoonsgegevens
Organisaties die persoonsgegevens verwerken moeten de betrokkene c.q. werknemer vanaf 25 mei 2018 fors meer informatie verstrekken. Zo moet onder andere worden aangegeven wat de bewaartermijn is van de gegevens en dat betrokkene kan verzoeken om zijn persoonsgegevens te wissen. Geadviseerd wordt om aan werknemers voor indiensttreding een algemene informatiebrief te sturen die in begrijpelijke taal is opgesteld.

3. Uitvoeren van een Gegevensbeschermingseffectbeoordeling (“GBE”)
Een GBE is een onderzoek om vooraf de privacy risico’s van een gegevensverwerking in kaart te brengen. Vervolgens kunnen maatregelen worden genomen om de risico’s te verkleinen. Het uitvoeren van een GBE is alleen verplicht als een gegevensverwerking waarschijnlijk een hoog privacy risico oplevert voor de betrokkenen. Dat kan zich bijvoorbeeld voordoen bij een ziekenhuis dat op grote schaal gezondheidsgegevens van patiënten verwerkt. Met een GBE kan een organisatie aantonen dat passende maatregelen zijn genomen om aan de privacyregels te voldoen. Het is uiteraard mogelijk om vrijwillig een GBE uit te voeren, ook als dit niet verplicht is.

4. Bijhouden van een Register van datalekken die zijn opgetreden
Een “datalek” is een inbreuk op de beveiliging die leidt tot de vernietiging, het verlies, wijziging, ongeoorloofde verstrekking of ongeoorloofde toegang tot verwerkte persoonsgegevens. Voorbeelden hiervan zijn een hack van de bedrijfswebsite of een werknemer die een laptop met gegevens verliest. Organisaties moeten elk datalek dat zich heeft voorgedaan documenteren in een overzicht van datalekken. Het is verstandig om ook de genomen corrigerende maatregelen vast te leggen.

5. Indien nodig een Functionaris voor Gegevensbescherming (“FG”) aanstellen
Het aanstellen van een FG is verplicht indien uw organisatie:
– een overheidsinstantie of publieke organisatie is.
– vanuit een kerntaak op grote schaal individuen regelmatig en stelselmatig volgt. Het kan hier bijvoorbeeld gaan om cameratoezicht of lokalisering met mobiele apps.
– op grote schaal bijzondere persoonsgegevens, zoals gezondheidsgegevens, verwerkt en dit een kernactiviteit is.
Wanneer onduidelijk is of u verplicht bent om een FG aan te stellen, moet u goed kunnen onderbouwen waarom u ervoor gekozen hebt om al dan niet een FG aan te stellen.

6. Afspraken met derden (“Verwerkers”) die persoonsgegevens voor uw organisatie verwerken, vastleggen in een Verwerkersovereenkomst
Verwerkers zijn bijvoorbeeld het administratiekantoor dat de salarisadministratie uitvoert voor uw onderneming of een aanbieder van een clouddienst voor het beheer van de klantenadministratie. De verordening stelt nieuwe eisen aan de verwerkersovereenkomst (onder huidige wet “bewerkersovereenkomst”). Zo dient in de overeenkomst te worden opgenomen dat de verwerker de gegevens na afloop van de verwerkingsdiensten wist of teruggeeft. De Verwerkersovereenkomst is een belangrijk document waarmee kan worden aangetoond dat de Verordening wordt nageleefd.

7. Opstellen van een Privacybeleid
Ook door het opstellen van een privacybeleid kan uw onderneming aantonen dat de privacyregels worden nageleefd. Bovendien zorgt dit beleid ervoor dat de mensen in de organisatie zich bewust worden van de regels en ernaar handelen. In een privacy beleid kunnen onder meer het ICT-beveiligingsbeleid, een draaiboek voor datalekken en een procedure  voor het uitoefenen van privacyrechten door betrokkenen c.q. werknemers worden opgenomen.

Wij zijn u graag van dienst indien u vragen hebt over de Privacy Verordening of hulp nodig hebt bij het opstellen van de hierboven genoemde documenten.

0 Flares Twitter 0 Facebook 0 LinkedIn 0 0 Flares ×