Privacywetgeving verandert: opletten geblazen voor werkgevers!

Op 25 mei 2018 treedt de Algemene Verordening Gegevensbescherming (AVG) in werking. Vanaf die datum geldt dezelfde privacywetgeving in de hele Europese Unie. De sancties die op grond van de AVG kunnen worden opgelegd in het geval de regelgeving niet (goed) wordt nageleefd zijn fors. Het is daarom belangrijk dat werkgevers goed op de hoogte zijn van de vereisten en de gevolgen van de AVG.

Personeelsdossiers bijhouden? Cameratoezicht op de werkplek? Let op!

Door de AVG krijgen werkgevers meer verplichtingen en werknemers meer rechten bij het verwerken van persoonsgegevens  zoals een naam, adres, telefoonnummer of personeelsnummer. Deze gegevens worden al snel ‘verwerkt’. Zo ben je al bezig met het verwerken van persoonsgegevens wanneer je gegevens verzamelt, opslaat of juist vernietigt. Dit is het geval als een werkgever de gegevens van een werknemer opneemt in een fysiek bestand (bijvoorbeeld een personeelsdossier). Maar denk ook aan de inzet van cameratoezicht op de werkplek of het gebruik van GPS-systemen voor chauffeurs en salesmedewerkers.

Aandachtspunten voor werkgevers

Waar moet je als werkgever met name op letten?

Rechtmatige grondslag:
Net als onder de Wet bescherming persoonsgegevens (Wbp) mag een werkgever enkel tot verwerking van persoonsgegevens overgaan als er ‘een rechtmatige grondslag’ is. Wanneer is dat over het algemeen het geval?

  • Als je toestemming hebt van de werknemer,
  • Als verwerking noodzakelijk is voor de uitvoering van de arbeidsovereenkomst,
  • Als verwerking noodzakelijk is om te voldoen aan een wettelijke verplichting
  • Als sprake is van een ‘gerechtvaardigd belang’ (als het belang van de werkgever bij het verwerken van de persoonsgegevens zwaarder weegt dan het belang van de werknemer bij het niet verwerken ervan).

Let wel: vanwege de gezagsverhouding tussen werkgever en werknemer zal de enkele toestemming van een werknemer voor het verwerken van persoonsgegevens niet altijd voldoende zijn. Zorg er daarom voor dat er een andere rechtmatige grondslag aanwezig is.

Rechten voor werknemers:
Werknemers hebben onder meer recht op inzage in de informatie die de werkgever bewaart. Zo mag hij vragen om een kopie van het personeelsdossier. Daarnaast bestaat een recht om bepaalde gegevens ‘vergeten te laten worden’.

Verplichtingen voor werkgever:
De werkgever moet de werknemers informeren over hun rechten op privacy-gebied, bijvoorbeeld over de gegevens die worden verwerkt. Daarbij moet ook worden aangegeven waarom en hoe lang dit gebeurt. Ook geldt voor bepaalde werkgevers een documentatieplicht: in dat geval moet er een register worden bijgehouden van de verwerkingsactiviteiten. Daarnaast moet de werkgever er voor zorgen dat de persoonsgegevens – ook digitaal! – goed beveiligd zijn. De meldplicht bij datalekken blijft uiteraard bestaan.

Functionaris gegevensbescherming

Is in jouw bedrijf op grote schaal sprake van gegevensverwerking of de verwerking van bijzondere persoonsgegevens zoals gezondheidsgegevens? Dan moet je een functionaris gegevensbescherming (FG) aanstellen.

Sancties

De gevolgen van het niet naleven van de AVG kunnen groot zijn. De toezichthouder (Autoriteit Persoonsgegevens) kan bij niet-naleving van de privacyregelgeving boetes opleggen tot wel 20 miljoen euro of maximaal 4% van de wereldwijde jaaromzet!

Advies: verdiep je in de AVG

Het is werkgevers dus sterk aan te raden zich goed te verdiepen in de AVG. Zorg ervoor dat de relevante personen in de organisatie (vóór 25 mei 2018) op de hoogte zijn van de nieuwe privacyregels. Breng de gegevensverwerkingen in kaart en documenteer welke persoonsgegevens worden verwerkt en met welk doel dit gebeurt. Verlies ook de digitale beveiliging niet uit het oog. Werknemers kunnen wellicht door middel van een algemene informatiebrief (in begrijpelijke taal) of een onderdeel van het personeelsreglement worden geïnformeerd over hun rechten.

Wil je meer weten over dit onderwerp, dan kun je contact opnemen met PDCU of Caroline Meijer (c.meijer@vil.nl) of Arvid Munsters (a.munsters@vil.nl) van de sectie Arbeid & Medezeggenschap van Van Iersel Luchtman N.V.

Dit bericht bevat informatie van algemene informatieve aard. Afhankelijk van de feitelijke omstandigheden van een specifiek geval kan de informatie op bepaalde gevallen niet, dan wel verminderd van toepassing zijn. De informatie in dit bericht is niet bedoeld als, en dient niet te worden beschouwd als, juridisch advies van welke aard dan ook. Van Iersel Luchtman advocaten is dan ook niet aansprakelijk voor de gevolgen van het eventuele gebruik dat van de informatie wordt gemaakt, zonder dat deskundig juridisch advies is ingewonnen.