De Nederlandse wet kent al jarenlang regels die de privacy van burgers beschermen. Eerst in de Wet persoonsregistraties, vanaf 2001 in de Wet bescherming persoonsgegevens (Wbp). Met ingang van 25 mei 2018 gaat de Algemene Verordening Gegevensbescherming (AVG) in. Dit zijn Europese regels die beter aansluiten bij de huidige technologische mogelijkheden en de persoonsgegevens van alle inwoners van de EU op dezelfde wijze beschermen. Werkgevers verwerken op grote schaal persoonsgegevens van hun werknemers. Ook voor hen gelden vanaf 25 mei 2018 strengere regels. Wat zijn de vijf belangrijkste wijzigingen voor werkgevers?
1. Werkgevers moeten meer vastleggen
Iedere werkgever legt persoonsgegevens van zijn werknemers vast, die goed moeten worden beschermd. Vanaf 25 mei 2018 moeten werkgevers daarbij handelen in overeenstemming met de AVG en bovendien kunnen aantonen dat zij dat doen. Zo moeten werkgevers documenteren welke persoonsgegevens zij verwerken, met welk doel, waar ze vandaan komen, met wie ze worden gedeeld en wat er binnen de onderneming gebeurt met die persoonsgegevens. Werknemers kunnen vanaf 25 mei opvragen welke gegevens zijn vastgelegd en met wie ze zijn gedeeld. Als een werknemer verzoekt gegevens te corrigeren of verwijderen moet de werkgever dit doen, en dit bovendien doorgeven aan organisaties waarmee de gegevens zijn gedeeld.
2. Benoemen Functionaris Gegevensbescherming
Onder de AVG worden sommige werkgevers verplicht om een Functionaris gegevensbescherming (FG)/Data Protection Officer (DPO) te benoemen. Deze functionaris is verantwoordelijk voor de bescherming van persoonsgegevens en controleert of de werkgever in overeenstemming met de AVG handelt. Werkgevers kunnen een medewerker als FG aanstellen, maar de werkzaamheden ook uitbesteden aan een externe partij.
3. Vaker en eerder vernietigen
Een van de uitgangspunten van de AVG is ‘dataminimalisatie’. Werkgevers mogen niet meer gegevens vastleggen dan strikt noodzakelijk en gegevens niet langer bewaren dan nodig. Als er geen doel of wettelijke grondslag (meer) is voor het bewaren van persoonsgegevens moeten zij worden vernietigd.
4. Melden datalekken
Op dit moment geldt al een meldplicht voor datalekken. Die meldplicht blijft onder de AVG bestaan. Wel stelt de AVG strengere eisen aan de registratie van datalekken, zelfs als er geen meldplicht is. Deze documentatieplicht gaat verder dan de huidige protocolplicht uit de Wbp.
5. Risico op fikse boetes
De Autoriteit Persoonsgegevens kan controleren of werkgevers zich aan de AVG houden. Daarnaast kunnen werknemers een klacht indienen bij de Autoriteit Persoonsgevens over de manier waarop een werkgever met hun gegevens omgaat. De Autoriteit is dan verplicht om die klacht te behandelen. Blijkt dat een werkgever zich niet aan de regels houdt? Dan kan dat leiden tot een boete van maximaal 20 miljoen Euro (of 4% van de totale wereldwijde omzet). Het is daarom van groot belang de persoonsgegevens en privacy van werknemers goed te beschermen en te zorgen dat aan alle regels van de AVG wordt voldaan. Als u daar hulp bij kunt gebruiken, denkt AK graag met u mee.
Fotocredits: Jacob Lund / Fotolia
