(update mei 2018) Met ingang van 25 mei 2018 vervangt de Europese privacywet, de Algemene Verordening Gegevensbescherming (AVG), de Wet bescherming persoonsgegevens. De nieuwe privacyregels vragen een gedegen voorbereiding, ook van de ondernemingsraad. In tien stappen naar de nieuwe AVG.
Met de AVG (of in het Engels: General Data Protection Regulation, GDPR) krijgen organisaties die persoonsgegevens verwerken meer verplichtingen. Organisaties en bedrijven, klein of groot, moeten kunnen aantonen dat ze zich aan de nieuwe wet houden. Burgers beschikken met de nieuwe wet over meer privacyrechten en de toezichthouder, De Autoriteit Persoonsgegevens, heeft meer bevoegdheden.
Organisaties die zich niet aan de AVG houden riskeren een strenge straf, van maximaal 20 miljoen euro of 4% van de wereldwijde omzet.
Van belang voor de ondernemingsraad
Voor de ondernemingsraad is het van belang goed betrokken te zijn bij het proces van voorbereidingen en implementatie van de privacyregels van de AVG, en de gevolgen voor de gegevensbescherming van het personeel.
De or heeft instemmingsrecht (artikel 27 WOR) bij regelingen voor het verwerken van persoonsgegevens van werknemers en voor personeelvolgsystemen.
De AVG verplicht organisaties te voldoen aan een aantal standaarden om de persoonsgegevens en de veilige verwerking daarvan te borgen. Deze borging vraagt meestal om het instellen van een of meerdere regelingen, waardoor het instemmingsrecht automatisch van kracht is.
Zo kan voor het uitvoeren van een Data Protection Impact Assessment (zie stap 4) instemming benodigd zijn, evenals voor de wijze van registratie van gegevens.
Ook voor de persoon en de taken van een functionaris voor de gegevensbescherming (‘FG’ – stap 6) komt het instemmingsrecht in beeld. Zeker daar waar de werkzaamheden van de FG betrekking hebben op het interne toezicht.
- Lees ook: Privacywet: or kan passende keuzes maken
De or moet aandringen op een goede informatievoorziening over de AVG naar de medewerkers. De or moet weten wat de rechten van betrokkenen zijn. De or kan eventueel vragen om toetsing door een externe organisatie van de impact van de privacybescherming op het bedrijf.
De or is de waakhond die controleert hoe gegevensbescherming in de praktijk uitpakt. Een privacyreglement kan té sober zijn, maar ook doorslaan naar iets onwerkbaars.
- Lees ook: Zorg voor een werkbaar privacyreglement
De tien belangrijkste stappen
De Autoriteit Persoonsgegevens (AP) is in de aanloop naar de nieuwe wet vaak benaderd met de vraag óf een bedrijf of organisatie een functionaris voor de gegevensbescherming (FG) moet hebben. Antwoorden op deze en andere vragen komen in onderstaand overzicht aan de orde.
Stap 1: Bewustwording
Organisaties moeten ervoor zorgen dat alle bij de verwerking van persoonsgegevens betrokken mensen op de hoogte zijn van de nieuwe privacyregels. Zij moeten kunnen inschatten wat de impact van de AVG is op de huidige processen, diensten en goederen en welke aanpassingen nodig zijn om aan de AVG te voldoen.
De implementatie van de AVG kan veel vragen van de beschikbare menskracht en middelen.
Stap 2: Rechten van betrokkenen
Onder de AVG hebben mensen van wie de organisatie persoonsgegevens verwerkt meer en verbeterde privacyrechten. Het is van groot belang dat zij hun privacyrechten goed kunnen uitoefenen.
Denk daarbij aan bestaande rechten, zoals het recht op inzage en het recht op correctie en verwijdering. Maar hou ook alvast rekening met nieuwe rechten, zoals het recht op dataportabiliteit. Mensen moeten makkelijk kunnen beschikken over hun gegevens en deze door kunnen geven aan een andere organisatie.
Mensen kunnen bij de AP een klacht indienen over de manier waarop een bedrijf of organisatie met hun gegevens omgaat. De AP is verplicht deze klachten te behandelen.
- Lees ook: Ken de rechten van betrokkenen
Nu in deze tijd vrijwel alle werkprocessen zijn gedigitaliseerd, lopen medewerkers meer risico op het gebied van privacy, bijvoorbeeld door hun eigen slordigheid. En dat kan ook organisaties opbreken.
- Lees ook: Privacywet en ict: bescherm de werknemers
- Lees ook: Or, bewaak de privacy op de werkvloer (met drie praktijkcases)
Stap 3: Overzicht verwerkingen
De werkgever moet de gegevensverwerkingen in de organisatie in kaart hebben gebracht. Gedocumenteerd dient te zijn welke persoonsgegevens verwerkt worden en met welk doel dat gebeurt, waar deze gegevens vandaan komen en met wie ze worden gedeeld.
De AVG legt een documentatieplicht op, wat inhoudt dat aangetoond moet kunnen worden dat de organisatie handelt in overeenstemming met de AVG.
Deze documentatie kan ook nodig zijn als betrokkenen hun privacyrechten uitoefenen. Als zij vragen hun gegevens te corrigeren of te verwijderen, moet dit doorgegeven worden aan de organisaties waarmee deze gegevens zijn gedeeld.
In de documentatie moet ook per categorie vermeld zijn op basis van welke wettelijke grondslag deze gegevens worden verwerkt. Beroept uw organisatie zich bijvoorbeeld op een gerechtvaardigd belang of wordt toestemming gevraagd aan de betrokkenen?
- Lees ook: Zorg voor een werkbaar privacyreglement
Stap 4: Data Protection Impact Assessment
Onder de AVG kunnen organisaties verplicht zijn een zogeheten Data Protection Impact Assessment (DPIA) uit te voeren. Dat is een instrument om vooraf de privacyrisico’s van gegevensverwerking in kaart te brengen, waarmee vervolgens maatregelen kunnen worden genomen om risico’s te verkleinen.
Een organisatie moet een DPIA uitvoeren als de beoogde gegevensverwerking waarschijnlijk een hoog privacyrisico met zich meebrengt.
Als uit een DPIA blijkt dat de beoogde verwerking een hoog risico oplevert, en het niet lukt om maatregelen te vinden om risico’s te beperken, dan moet de organisatie met de AP overleg plegen. De AP beoordeelt dan of de voorgenomen verwerking in strijd is met de AVG.
Stap 5: Privacy by design & privacy by default
Privacy by design houdt in dat al bij het ontwerpen van producten en diensten wordt gezorgd voor het goed beschermen van persoonsgegevens.
Privacy by default betekent dat de organisatie technische en organisatorische maatregelen moet nemen om ervoor te zorgen dat, als standaard, alléén persoonsgegevens verwerkt worden die noodzakelijk zijn voor het specifieke doel dat de organisatie wenst te bereiken.
Voorbeelden:
- Bij het aanbieden van een app de gebruikers niet hun locatie laten registeren als dat niet nodig is;
- Op de website het vakje ‘Ja, ik wil aanbiedingen ontvangen’ niet vooraf aan te vinken;
- Als iemand zich op een nieuwsbrief wil abonneren niet meer gegevens te vragen dan nodig is.
Stap 6: Functionaris voor de gegevensbescherming
Onder de AVG kunnen organisaties verplicht zijn om een functionaris voor de gegevensverwerking (FG) aan te stellen. Deze persoon wordt ook wel aangeduid als ‘Data Protection Officer.’ Een organisatie mag ook vrijwillig een FG aanstellen.
Overheidsinstanties en zorgorganisaties en bedrijven die op grote schaal persoonsgegevens verkrijgen of bewerken zullen in elk geval een FG moeten aanstellen.
Stap 7: Meldplicht datalekken
De meldplicht datalekken blijft onder de AVG grotendeels hetzelfde. De AVG stelt wel strengere eisen aan registratie in de organisatie van de datalekken die zich er hebben voorgedaan.
Alle datalekken dienen gedocumenteerd te worden. Aan de hand van deze documentatie moet de AP kunnen controleren of de betrokken organisatie aan de meldplicht heeft voldaan.
Stap 8: Bewerkersovereenkomsten
Is de gegevensverwerking van de organisatie uitbesteed aan een bewerker (in de AVG ‘verwerker’ genoemd)? Beoordeel dan of de overeengekomen maatregelen in bestaande contracten met bewerkers nog steeds toereikend zijn en voldoen aan de vereisten in de AVG. Zo niet, dring als or dan aan op de noodzakelijke wijzigingen.
Stap 9: Leidende toezichthouder
Wanneer een organisatie vestigingen heeft in meerdere EU-lidstaten, of als bepaalde gegevensverwerkingen in meerdere lidstaten impact hebben, dan heeft de organisatie onder de AVG nog maar met één privacytoezichthouder te maken. Dit wordt de leidende toezichthouder genoemd.
Stap 10: Toestemming
De gegevensverwerking in een organisatie kan gebaseerd zijn op toestemming van de betrokkenen. De AVG stelt strengere eisen aan toestemming. Evalueer om die reden de manier waarop jullie organisatie toestemming vraagt, krijgt en registreert en zorg voor de benodigde aanpassingen.
Nieuw is dat de organisatie moet kunnen aantonen dat zij geldige toestemming van mensen heeft gekregen om hun persoonsgegevens te verwerken. En dat het voor mensen net zo makkelijk moet zijn om hun toestemming in te trekken als om die te geven.
Bronnen: Autoriteit Persoonsgegevens, Europese privacywetgeving, ORmagazine, ORnet
Tip! download de gratis whitepaper: De Europese privacywet (AVG)
Opleiding: De nieuwe Privacywetgeving voor de or
Voor de or is het van groot belang om de ins en outs van de nieuwe privacywetgeving te kennen. Tijdens de 1-daagse opleiding De nieuwe Privacywetgeving voor de or wordt de privacywet uitgebreid behandeld en komen alle specifieke punten voor de or aan de orde.
Stappen plan welke ik wel begrijp in hoofdlijnen.
Heel belangrijk wordt het uitvoeren van een PIA ofwel volgens de AVG – artikel 35 een “Gegevensbeschermingseffectbeoordeling” of volgens de GDPR een DPIA “Data Protection Impact Assessment”.
Op dit moment komt er Guidance vanuit de WP29 groep en ook vanuit de Autoriteit Persoonsgegevens.
Ik ben benieuwd wat jou opinie is tav van deze Guidance.
Groet Ir. Jan. W. de Heer RE