Werkgevers, er komt een nieuwe Europese Privacy Verordening aan!

Per 25 mei 2018 is de nieuwe Europese Privacy Verordening[1] (hierna: “AVG”) van toepassing. Als werkgever heeft u dus nog een aantal maanden om uw onderneming op orde te brengen. Met betrekking tot het niet naleven van de AVG staan strenge sancties. Wat zijn nu de belangrijkste wijzigingen voor u als werkgever?

Vervanging van de Wet bescherming persoonsgegevens

Als de AVG met ingang van 25 mei 2018 van toepassing is, vervalt de Wet Bescherming Persoonsgegevens (“WBP”). Hoewel in de AVG veel van de in de WBP gebruikte beginselen gevolgd worden, zijn de verplichtingen voor werkgevers onder de AVG uitgebreider. Als u op dit moment voldoet aan de bepalingen uit de WBP, is dat een goed begin, maar zeker nog niet voldoende.

Meer rechten van de werknemer

De AVG verschaft de werknemer meer controlemogelijkheden ten aanzien van verwerking van zijn persoonsgegevens door zijn werkgever. Het gaat onder andere om de volgende uitbreidingen:

1. Het recht op inzage is uitgebreid (Art. 15 AVG)

Ten aanzien van het bewaren van zijn persoonsgegevens is nieuw dat de werknemer onder de AVG ook het recht heeft op informatie over de termijn die zijn werkgever hanteert, en of de gegevens worden gebruikt voor automatische besluitvorming, en of de werkgever voornemens is gegevens naar het buitenland te transporteren en zo ja, welke waarborgen hij daarbij heeft voorzien.

2. Het recht op vergetelheid wordt opgenomen (art. 18 AVG)

Dit recht bestaat onder meer als de verwerking niet langer nodig is voor verwezenlijking van het doel, als de verwerking enkel berustte op de toestemming van de werknemer en deze wordt ingetrokken, als de werknemer gegronde bezwaren maakt tegen de verwerking of als een rechtsgrond voor de verwerking ontbreekt.

3. Het recht op beperking van de verwerking is ingevoerd (art. 18 AVG)

Dit recht houdt in dat de werknemer de werkgever onder bepaalde omstandigheden kan verzoeken de verwerking van zijn persoonsgegevens gedurende een bepaalde periode te beperken. 

Verplichtingen werkgever

Ook is er sprake van veranderende verplichtingen van de werkgever als ‘verwerkingsverantwoordelijke’. Hieronder volgt een vijftal verplichtingen:

1. De informatieverplichting, onder andere over het doel van de verwerking en hoe lang de gegevens worden bewaard, maar ook dat een eenmaal gegeven toestemming kan worden ingetrokken. Advies is daarom, aan werkgevers, om te gaan werken met een algemene informatiebrief aan de (nieuwe) werknemers, waarin zij worden gewezen op hun rechten ten aanzien van de verwerking van hun persoonsgegevens.

Let op: de werkgever dient in beginsel binnen een maand op het verzoek (van bijvoorbeeld inzage of verwijdering) van de werknemer te reageren. Er is een mogelijkheid deze termijn met 2 maanden te verlengen in het geval van een omvangrijk verzoek. Een afwijzing dient tijdig, schriftelijk en gemotiveerd te worden gegeven. Een klachtenprocedure bij  de privacy toezichthouder of de gang naar de rechter staan dan open.

2. De documentatieplicht voor grotere werkgevers (meer dan 250 werknemers), ondernemingen die op grote schaal gegevens van individuen verwerken (bijvoorbeeld recruitmentbureaus) of indien sprake is van verwerking van bijzondere persoonsgegevens (zoals de verwerking van gezondheidsgegevens door arbodiensten). Kort gezegd dient er een register bijgehouden te worden van de verwerkingsactiviteiten. Dit moet beschikbaar gemaakt worden aan de toezichthouder als hij daarom vraagt. Bedrijven met minder dan 250 werknemers hebben geen documentatieplicht, tenzij:

• de verwerking van persoonsgegevens een risico vormt voor de rechten en vrijheden van betrokkenen;
• het verwerken niet incidenteel is;
• er speciale categorieën persoonsgegevens of persoonsgegevens met betrekking tot strafrechtelijke veroordelingen/overtredingen verwerkt worden.

3. De verplichting om een functionaris voor de gegevensbescherming (FG) aan te stellen. Deze verplichting bestaat voor publieke overheden en voor particuliere bedrijven, indien:

• de verwerking door een verwerkingsverantwoordelijke wordt uitgevoerd die als kerntaak heeft verwerkingsactiviteiten uit te voeren die grootschalige, regelmatige en systematische observatie van betrokkenen vereisen; of
• indien de onderneming hoofdzakelijk is belast met de verwerking van bijzondere persoonsgegevens.

De FG heeft binnen een organisatie bepaalde bevoegdheden en is hét aanspreekpunt binnen de organisatie voor privacyvraagstukken. De FG mag andere taken vervullen, zolang deze geen belangenverstrengeling opleveren.

4. De verplichting tot verbeterde beveiliging van persoonsgegevens.

5. De meldplicht bij datalekken. Deze plicht is voor Nederland niet nieuw, aangezien de WBP de meldplicht datalekken sinds 1 januari 2016 al kent.

Sancties

Zoals al aangekondigd in deze nieuwsbrief kunnen er hoge boetes worden opgelegd bij niet naleving van de verplichtingen uit de AVG. Voor een aantal inbreuken op de AVG kan de boete oplopen tot € 10 miljoen of tot 2% van de totale wereldwijde jaaromzet in het voorgaande boekjaar. Deze boetes staan op onder meer niet naleving van de plicht tot het aanstellen van een functionaris voor de gegevensbescherming of de plicht tot het bijhouden van een verwerkingsregister. Voor andere overtredingen geldt een boete van maximaal € 20 miljoen of maximaal 4% van de totale wereldwijde jaaromzet in het voorgaande boekjaar. Te denken valt hierbij aan het niet naleven van de basisbeginselen van de gegevensverwerking. Tegen oplegging van deze sanctie staat beroep open bij de rechtbank.

AVG in het algemeen en Nederlandse wetgeving in het bijzonder

Het doel van de AVG was het voorkomen van versnippering. Echter, in de AVG is de mogelijkheid opgenomen dat lidstaten eigen (of nadere) regels stellen. Nederland heeft op 9 december 2016 de Uitvoeringswet AVG gepubliceerd. Deze wet zal in de plaats komen van de WBP. Gevolg daarvan is ook dat de vrijstellingen uit de WBP, zoals de maximale bewaartermijn van sollicitantengegevens (in beginsel vier weken) en personeelsgegevens (twee jaar) – die voor werkgevers van groot belang zijn – komen te vervallen.

Privacy Scan en advies

Kortom, door de  AVG zullen werkgevers aan de slag moeten met de aanpassing van de bestaande HR-systemen en zij zullen actief een privacy beleid moeten gaan ontwikkelen en onderhouden. Deskundige begeleiding van een privacy jurist kan daarbij nuttig zijn.

De advocaten van de sectie Privacyrecht adviseren over de implementatie van de AVG. Een startpunt kan een Privacy Scan zijn. De Privacy Scan is vooral gericht op het in kaart brengen van risico’s op privacy gebied. Het vormt een startpunt voor het doorvoeren van maatregelen en te vormen privacybeleid. Lees hier meer over onze Privacy Scan.