5 punten die iedere werkgever moet weten over de nieuwe privacyregels

5 punten die iedere werkgever moet weten over de nieuwe privacyregels

26 feb 2018 Arbeidsrecht Frans van Meer

De Nederlandse wet kent al jarenlang regels die de privacy van burgers beschermen. Eerst in de Wet persoonsregistraties, vanaf 2001 in de Wet bescherming persoonsgegevens (Wbp). Met ingang van 25 mei 2018 gaat de Algemene Verordening Gegevensbescherming (AVG) in. Dit zijn Europese regels die beter aansluiten bij de huidige technologische mogelijkheden en de persoonsgegevens van alle inwoners van de EU op dezelfde wijze beschermen. Werkgevers verwerken op grote schaal persoonsgegevens van hun werknemers. Ook voor hen gelden vanaf 25 mei 2018 strengere regels. Wat zijn de vijf belangrijkste wijzigingen voor werkgevers?

1. Werkgevers moeten meer vastleggen

Iedere werkgever legt persoonsgegevens van zijn werknemers vast, die goed moeten worden beschermd. Vanaf 25 mei 2018 moeten werkgevers daarbij handelen in overeenstemming met de AVG en bovendien kunnen aantonen dat zij dat doen. Zo moeten werkgevers documenteren welke persoonsgegevens zij verwerken, met welk doel, waar ze vandaan komen, met wie ze worden gedeeld en wat er binnen de onderneming gebeurt met die persoonsgegevens. Werknemers kunnen vanaf 25 mei opvragen welke gegevens zijn vastgelegd en met wie ze zijn gedeeld. Als een werknemer verzoekt gegevens te corrigeren of verwijderen moet de werkgever dit doen, en dit bovendien doorgeven aan organisaties waarmee de gegevens zijn gedeeld.

2. Benoemen Functionaris Gegevensbescherming

Onder de AVG worden sommige werkgevers verplicht om een Functionaris gegevensbescherming (FG)/Data Protection Officer (DPO) te benoemen. Deze functionaris is verantwoordelijk voor de bescherming van persoonsgegevens en controleert of de werkgever in overeenstemming met de AVG handelt. Werkgevers kunnen een medewerker als FG aanstellen, maar de werkzaamheden ook uitbesteden aan een externe partij.

3. Vaker en eerder vernietigen

Een van de uitgangspunten van de AVG is ‘dataminimalisatie’. Werkgevers mogen niet meer gegevens vastleggen dan strikt noodzakelijk en gegevens niet langer bewaren dan nodig. Als er geen doel of wettelijke grondslag (meer) is voor het bewaren van persoonsgegevens moeten zij worden vernietigd.

4. Melden datalekken

Op dit moment geldt al een meldplicht voor datalekken. Die meldplicht blijft onder de AVG bestaan. Wel stelt de AVG strengere eisen aan de registratie van datalekken, zelfs als er geen meldplicht is. Deze documentatieplicht gaat verder dan de huidige protocolplicht uit de Wbp.

5. Risico op fikse boetes

De Autoriteit Persoonsgegevens kan controleren of werkgevers zich aan de AVG houden. Daarnaast kunnen werknemers een klacht indienen bij de Autoriteit Persoonsgevens over de manier waarop een werkgever met hun gegevens omgaat. De Autoriteit is dan verplicht om die klacht te behandelen. Blijkt dat een werkgever zich niet aan de regels houdt? Dan kan dat leiden tot een boete van maximaal 20 miljoen Euro (of 4% van de totale wereldwijde omzet). Het is daarom van groot belang de persoonsgegevens en privacy van werknemers goed te beschermen en te zorgen dat aan alle regels van de AVG wordt voldaan. Als u daar hulp bij kunt gebruiken, denkt Asselbergs & Klinkhamer graag met u mee. Fotocredits: Jacob Lund / Fotolia

Over de blogger
Frans van Meer

Frans werkt sinds januari 2008 bij Asselbergs & Klinkhamer. Hij houdt zich met name bezig met het arbeidsrecht.

Meer artikelen van Frans van Meer
Frans van Meer

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *