Slide background

HULP BIJ DIVERSE PERSONEELSKWESTIES


Privacyrecht (AVG)

Sinds 25 mei 2018 is de Algemene Verordening Gegevensbescherming (AVG) van toepassing. De AVG is van toepassing op iedereen die persoonsgegevens verwerkt.

Onderstaand de 8 aan ons meest gestelde vragen over de werking van de AVG.

1.Voor wie geldt de AVG?
Bijna iedere ondernemer verwerkt persoonsgegevens. Dat betekent dat de bepalingen op hen van toepassing zijn. Zelfs op zzp’ers en eenmanszaken. Denk voor verwerkingen aan klantenlijsten, lijsten voor verzending van een nieuwsbrief etc. Voor een onderneming met werknemers in dienst geldt dat zij ook persoonsgegevens van hun werknemers verwerken voor het personeelsdossier etc. Voor bijzondere persoonsgegevens geldt dat je ze in beginsel niet mag verwerken, tenzij daarvoor een wettelijke uitzonderingsgrond geldt.

2.Wat is een rechtmatige verwerking?
De verwerking van persoonsgegevens moet voldoen aan de volgende regels:

  • De gegevens die je verwerkt zijn juist en nauwkeurig;
  • Je verwerkt ze op een eerlijke en transparante manier;
  • Je verwerkt ze in overeenstemming met andere wetten;
  • Stel de grondslag van je verwerking vast. Voor de verwerking heb je één van de volgende grondslagen nodig:
    • de betrokkene heeft zijn ondubbelzinnige toestemming verleend.
    • de gegevensverwerking is noodzakelijk voor de uitvoering van een overeenkomst waarbij betrokkene partij is, of voor het nemen van precontractuele maatregelen naar aanleiding van een verzoek van betrokkene en die noodzakelijk zijn voor het sluiten van een overeenkomst;
    • nakoming van een wettelijke verplichting;
    • ter vrijwaring van een vitaal belang van betrokkene;
    • verwerking is noodzakelijk voor de goede vervulling van een publiekrechtelijke taak;
    • de gegevensverwerking is noodzakelijk voor de behartiging van jouw gerechtvaardigde belang of van een derde aan wie je de gegevens verstrekt, tenzij het belang of de fundamentele rechten en vrijheden van de betrokkene, in het bijzonder het recht op bescherming van de persoonlijke levenssfeer, prevaleert.
  • Deel de verwerking voorafgaand aan de betrokkenen mee;
  • Voldoe aan vereisten van proportionaliteit en subsidiariteit. Concreet betekent dit je eerst moet nagaan of je je doel met een minder ingrijpend middel kunt bereiken. Bijvoorbeeld het blokkeren van bepaalde sites in plaats van het volgen van het surfgedrag van bijvoorbeeld een werknemer om na te gaan of hij de verboden sites heeft bezocht;
  • Zorg voor een goede beveiliging van de gegevens.

3.Hoe moet ik beginnen?
Sinds de inwerkingtreding van de AVG geldt een documentatieplicht. Dat betekent dat je moet kunnen aantonen dat je onderneming in overeenstemming met de AVG handelt. Breng eerst in kaart welke persoonsgegevens je in welk systeem verwerkt, met welk doel je dit doet, waar deze gegevens vandaan komen en met wie je ze deelt. Denk daarbij aan je klantenlijsten. Als je personeel in dienst hebt, kun je ook denken aan personeelsbestanden, de gegevens die je verwerkt voor ziekmelding van werknemers, verlofregistratie en loonbetaling, en de gegevens van sollicitanten.
Het is verplicht een overzicht te kunnen tonen van al je verwerkingen. Leg deze dus vast in een register. Je kunt een gratis model krijgen, als je contact met ons kantoor opneemt.
Zorg voor een goede beveiliging met tweetraps inlog van je laptops en telefoons, zodat – als ze per ongeluk in de trein blijven liggen – de gegevens niet zonder meer toegankelijk zijn. Maak ook je medewerkers bewust van het belang van privacy en stel een helder beleid op waarin is vastgelegd dat ze hun laptops niet in hun auto mogen laten liggen, geen bestanden met persoonsgegevens per mail mogen versturen en geen wachtwoorden mogen opslaan op hun computer. Ook adviseren we een clean desk en clean screen beleid.
Stel een kort beleid op over hoe je moet handelen in geval van een datalek. Denk voor een datalek aan het verlies van een laptop door een medewerker of het verzenden van een e-mail aan de verkeerde persoon.

4. Moet ik betrokkenen informeren?
Ja. Informeer degenen van wie je de persoonsgegevens verwerkt (de betrokkenen) over het feit dat je hun persoonsgegevens verwerkt, met welk doel je dat doet en hoe lang je de gegevens bewaart. Ook moet je ze wijzen op hun rechten. Het is het meest praktisch dat in een privacystatement te doen. Daarin kun je meteen ook je cookiebeleid meenemen.

5. Wanneer is aanstelling van een Functionaris Gegevensbescherming (FG) verplicht?

  • Voor overheidsinstanties en publieke organisaties is aanstelling van een FG verplicht, ongeacht de gegevens die ze verwerken;
  • Voor organisaties wiens belangrijkste activiteit het op grote schaal volgen van mensen betreft, is het eveneens verplicht. Te denken valt dan aan profilering van mensen voor het maken van een risico-inschatting, cameratoezicht of monitoring van de persoonsgegevens die afgegeven worden door wearables;
  • Voor organisaties wiens belangrijkste activiteit is gelegen in het op grote schaal verwerken van bijzondere persoonsgegevens (doorklikken naar privacy 1 bijzondere gegevens);

Als je ervoor kiest al dan niet een FG aan te stellen, moet je goed kunnen onderbouwen waarom je dat wel of niet hebt gedaan. Van belang is dat een concern één FG mag aanstellen voor het hele concern. Of je nu wel of geen FG aanstelt, we adviseren je ten minste één iemand verantwoordelijk te maken voor de naleving van de privacywetgeving, zodat je adequaat reageert op een datalek of als een betrokkene gebruik wil maken van zijn rechten.

6.Moet ik onderzoeken of de verwerkersovereenkomsten nog voldoen?
Ja. Als je je gegevensverwerking aan een verwerker hebt uitbesteed (denk ook aan de Cloud), beoordeel dan of de met die verwerker overeengekomen maatregelen nog steeds toereikend zijn en of ze voldoen aan de vereisten van de AVG. Zorg tijdig voor de noodzakelijke wijzigingen in de overeenkomst.

7.Moet ik verkregen toestemming vastleggen?
Ja. Voor verwerkingen die gebaseerd zijn op toestemming, zoals bijvoorbeeld de verzending van een nieuwsbrief, geldt dat je moeten kunnen aantonen dat je die toestemming (op geldige wijze) hebt verkregen. Ga dus na hoe je om toestemming verzoekt, hoe je deze krijgt en hoe je deze vervolgens registreert. Als de huidige wijze van het verkrijgen van toestemming niet meer voldoet, moet je de procedures aanpassen.

8.Is een DPIA nodig?
Onder de AVG kun je worden verplicht een zogeheten privacy impact assessment (DPIA) uit te voeren. Dat is een instrument om vooraf de privacy risico’s van een gegevensverwerking in kaart te brengen. Als het risico op privacyschending aanwezig is (bijvoorbeeld als je heel veel gegevens of bijzondere persoonsgegevens verwerkt), moet je maatregelen nemen om dit te verkleinen.

Wij helpen je graag verder met vragen over privacy op de werkvloer en de AVG.