De Algemene Verordening Gegevensbescherming

De Algemene Verordening Gegevensbescherming

Inleiding en focus

Onderstaand staan de belangrijkste veranderingen omschreven waar werkgevers mee te maken krijgen als de Algemene Verordening Gegevensbescherming (AVG) op 25 mei 2018 ingaat. Deze wet raakt veel elementen van de bedrijfsvoering, in dit artikel beperken we ons op de invloed op arbeid en werkgeverschap. De wet is veelomvattend en ingewikkeld. In dit artikel proberen we  zo overzichtelijk mogelijk de consequenties voor u in kaart te brengen. De wetgeving is echter dusdanig ingewikkeld en veelomvattend dat het niet lukt om alle aspecten in één artikel  op te nemen. U kunt aan dit artikel dan ook geen rechten ontlenen. We kunnen ons voorstellen dat u nog vragen heeft naar aanleiding van dit artikel. U kunt dan altijd bellen met de Werkgeverslijn land- en tuinbouw.

Tien stappenplan

Wat moet u concreet doen? Volg het onderstaande stappenplan! Onder het stappenplan leest u de uitgebreidere achtergrondinformatie van de wet en wat er van u verwacht wordt.

  1. Breng in kaart welke data u nu bewaart en of dat wel nodig is.
  2. Breng uw personeel op de hoogte van de nieuwe wetgeving en leg vast wat u van hen verwacht als het gaat om het zorgvuldig omgaan met gegevens.
  3. Leg vast welke gegevens u verwerkt en waarom u deze gegevens bewaart (de grondslag), onderscheidt hierbij uw doelgroepen (bijvoorbeeld personeel, klanten, leveranciers etc).
  4. Informeer uw doelgroep wat u met de persoonsgegevens doet (transparantie). Dat kan in sommige gevallen op uw website, maar soms ook niet.
  5. Zorg er voor dat de gegevens veilig zijn (kasten op slot, afgeschermde computermappen) en dat deze niet in handen van onbevoegden kunnen vallen.
  6. Als u gegevens aan derden verstrekt, maak dan een duidelijke overeenkomst met die derde.
  7. Leg vast wat u doet als er een datalek optreedt. Het is genoeg om op te schrijven dat u dit direct bij de Autoriteit Persoonsgegevens gaat melden.
  8. Indien u toestemming vraagt voor het verwerken van gegevens, evalueer dan hoe u die toestemming vraagt, krijgt en registreert. Pas indien nodig uw werkwijze aan. Maak aan mensen die toestemming gegeven hebben duidelijk dat men die ook weer in kan trekken.
  9. Informeer uzelf goed over dit onderwerp en vraag indien nodig bedrijfsspecifiek advies aan een specifiek adviesbureau.
  10. Lees meer achtergrondinformatie over de wetgeving en uitleg van de verschillende begrippen in dit achtergrondartikel over de AVG.

Wat is de AVG?

De Algemene Verordening Gegevensbescherming (AVG) is een wet. Deze is van toepassing als persoonsgegevens worden verwerkt of als deze gegevens in een bestand staan. In feite is de AVG niet helemaal nieuw. Het betreft een aanscherping van de bestaande privacy regelgeving. Op dat terrein is het eigenlijk geen “revolutie” maar een “evolutie”. In feite moet u zich nu al aan de meeste regels rond privacy houden. Wat door de wet vooral verandert is:

  • Na invoering ontstaat een meldplicht als ergens een “datalek” heeft plaatsgevonden. Dat is het geval als u bijvoorbeeld gehackt bent of als u bestanden bent verloren. En bekend voorbeeld is verlies of diefstal van een computer, telefoon of usb stick. Zie ook verderop in dit artikel.
  • Indien op een verkeerde wijze wordt omgegaan met persoonsgegevens heeft de Autoriteit Persoonsgegevens de bevoegdheid om boetes op te leggen. Deze kunnen oplopen tot 4% van de omzet met een maximum van 20 miljoen euro.

Wat zijn persoonsgegevens en wat mag u er mee?

Persoonsgegevens zijn alle gegevens die aan een natuurlijke persoon kunnen worden gekoppeld. Onder de verwerking van persoonsgegevens wordt verstaan alle handelingen die  met persoonsgegevens kan worden gedaan, inclusief opslaan (bijvoorbeeld in een bestand met meerdere personen) en  wissen van gegevens. In alle gevallen dat u een persoonsgegevens bewaart, moet u zich aan drie uitgangspunten houden:

  1. Doelbinding: Er moet een relatie zijn tussen de gegevens en het doel waarom u deze bewaart.
  2. Transparantie: U moet helder zijn met wat u met de gegevens doet.
  3. Zorgvuldigheid: U dient zorgvuldig met de gegevens om te gaan.

 1 Doelbinding

U moet nadenken over de vraag waarom u gegevens verwerkt en u moet het doel ervan vastleggen. Deze doelstellingen moet u kunnen verantwoorden aan de hand van de wet wanneer de Autoriteit Persoonsgegevens daar om vraagt. Deze kent een aantal grondslagen/kapstokjes waaraan u de verantwoording kunt hangen:

  1. U gebruikt de gegevens voor het aangaan of uitvoeren van een overeenkomst. Een voorbeeld hiervan is een bestand met leveranciers of klanten.
  2. U heeft een wettelijke verplichting de gegevens te verwerken. Een voorbeeld hiervan is een kopie van het paspoort in het Personeelsdossier. In dat geval mag (moet) u bijvoorbeeld ook het BSN nummer van uw medewerker hebben. In andere gevallen dient het BSN nummer doorgehaald te worden.
  3. Er is een vitaal belang van een betrokkene of van een derde; het helpt de situatie te verbeteren. Een vitaal belang is een belang dat essentieel is voor iemands leven of gezondheid en u die persoon niet om toestemming kunt vragen. Stel dat iemand een bedrijfsongeval krijgt en bewusteloos is. U mag de hulpdiensten dan zijn persoonlijke gegevens geven, bijvoorbeeld dat u weet dat hij bepaalde medicijnen gebruikt.
  4. Als het in het gerechtvaardigd belang is van uw organisatie. Voorbeelden hiervan zijn reclame maken, een rekening innen etc.
  5. Op basis van toestemming; doe dat ALLEEN als u geen andere grondslag kunt vinden.

U moet steeds aan kunnen tonen dat u de gegevens echt nodig hebt voor uw doel. Voorbeeld: Bij een klant slaat u op waar de producten heen moeten. Het opslaan van de geboortedatum van de klant is al minder logisch; de gegevens moeten altijd te koppelen zijn aan het belang van de betrokkene. Als u een goede reden hebt om de gegevens te verwerken, is er geen probleem. U heeft deze gegevens immers nodig voor uw bedrijfsvoering. Overigens: Op basis van de telecomwetgeving geldt (al langer) dat u voor het verwerken van e-mail adressen altijd toestemming nodig heeft.

Toestemming

U mag niet alle gegevens bewaren; zaken als ras, gezondheidsgegevens, religieuze opvattingen, seksuele voorkeur, gezondheid, lidmaatschap vakbond, politieke opvattingen, genetische data, biometrische gegevens mag u niet verwerken, tenzij u daarvoor uitdrukkelijke toestemming heeft.

Aan toestemming zitten een aantal ingewikkeldheden; deze kan namelijk altijd worden ingetrokken en deze moet “vrij” zijn. Zo wordt een werknemer niet geacht “vrij” te zijn omdat er een gezagsverhouding  tussen werkgever en werknemer  bestaat. De AVG stelt extra eisen aan de toestemming: er moet altijd een verklaring zijn of een ondubbelzinnige actieve handeling. Het gebruik van aangekruiste vakjes geldt niet als toestemming.

Bovendien bestaat het recht van betrokkene om bezwaar te maken. Zelfs als de gegevens worden gebruikt voor direct bedrijfsbelang kan iemand vragen om vergeten te worden.

De geldigheid van bestaande toestemmingen vervalt als deze niet aan alle voorwaarden voldoet waaronder deze toestemming is verleend.   U moet dan opnieuw toestemming vragen. U mag nooit meer of langer gegevens verwerken en bewaren dan nodig is.

2 Transparantie

Het dient altijd helder te zijn wat u met de gegevens doet. Als duidelijk is waar u de gegevens voor gebruikt (bijvoorbeeld om een factuur te kunnen sturen), hoeft u geen verdere stappen te zetten. In alle andere gevallen moet u op het moment dat u de gegevens rechtstreeks van de betrokkene krijgt, deze direct informeren. Als u de gegevens van een ander krijgt, moet u de betrokkene binnen 1 maand informeren. Hierbij dient u ook aan te geven hoe lang u de gegevens bewaart en voor welk doel. Als u een nieuw doel hebt voor je verwerking van de gegevens moet u de betrokkende opnieuw informeren, dan wel om toestemming vragen.

Ook moet u inzage geven aan de betrokkene als hij vraagt welke gegevens u bewaart. De betrokkene heeft altijd het recht om een klacht in te dienen bij Autoriteit Persoonsgegevens.

3 Zorgvuldigheid

U dient zorgvuldig met persoonsgegevens om te gaan. Voorbeelden hiervan zijn:

  • U dient te regelen dat de persoonsgegevens zijn afgeschermd en niet in handen kunnen vallen van mensen die die niet zouden mogen hebben. Denk hierbij aan mensen binnen uw organisatie die toegang hebben tot de bestanden (zowel “in de kast” als op de computer). Maar ook aan mensen buiten u organisatie. U dient deugdelijk beschermd te zijn tegen bijvoorbeeld hackers en inbrekers.
  • Indien u gegevens versterkt aan een ander (bijvoorbeeld een salarisverwerker) dient u zich er van te vergewissen dat de ander een betrouwbare partij is. Het is verstandig dat u een overeenkomst met de verwerker sluit rond gegevensverwerking en dat u niet meer gegevens deelt dan strikt noodzakelijk is.
  • Als u meer dan 250 werknemers heeft, dient u bij te houden wat u met gegevens doet en heeft gedaan. Dat zal in de land- en tuinbouw niet vaak voorkomen. Onder de 250 medewerkers moet u dit alleen bijhouden als de verwerking niet incidenteel is, of als u bijzondere persoonsgegevens verwerkt. Overigens is bijvoorbeeld de verwerking van gegevens van medewerkers NIET incidenteel en daarvan moet u dus bijhouden wat u er mee doet. Als de autoriteit persoonsgegevens bij u komt controleren dient u te kunnen laten zien welke gegevens u heeft en wat u er mee doet / heeft gedaan. Voor zover wij weten is dit vormvrij.
  • U dient te voldoen aan de meldplicht indien er een stevig datalek heeft plaatsgevonden. Een voorbeeld van een datalek is een verloren of gestolen computer, een kwijtgeraakt USB stick, een hack, een verkeerd verzonden e-mail etc. Dergelijk lekken dient u binnen 72 uur te melden aan de Autoriteit Persoonsgegevens. Daarnaast dient u een register bij te houden van incidenten die hier mogelijkerwijs onder zouden kunnen vallen en daar beleid op hebben Zo zou u een protocol kunnen maken waarin u omschrijft wat een datalek is en wat uw personeel in voorkomende gevallen zou moeten doen.