7 mei 2018

Auteur: Crux Legal
Crux Legal Datum

Klaar voor de AVG?

Het is inmiddels iedereen wel bekend: op 25 mei 2018 treedt de AVG, de Algemene verordening Gegevensbescherming, in werking. Deze Europese Richtlijn gaat in alle lidstaten gelden en vervangt in Nederland de Wet Persoonsgegevens.
De meeste bedrijven zijn druk doende om op de valreep hun organisatie “AVG-proof” te krijgen. Dat betekent onder meer dat zij een beleid opstellen waarin staat hoe er wordt omgegaan wordt met persoonsgegevens van zowel interne personen (werknemers) als externe personen (klanten, leveranciers en andere zakelijke contactpersonen).
Hieronder volgen de belangrijkste stappen die ondernemingen moeten zetten om de omgang met persoonsgegevens binnen de onderneming in lijn met de nieuwe wet- en regelgeving te brengen:

  • Maak een interne privacyregeling met daarin vermeld de manier waarop persoonsgegevens worden verwerkt en waarom dat op die manier wordt gedaan. Onder meer kan hierin worden opgenomen waar de arbeidsovereenkomst en personeelsdossiers zich bevinden en hoe er met de gegevens van medewerkers wordt omgegaan (zowel tijdens het dienstverband als erna).
  • Waarborg een zorgvuldige omgang met gegevens van klanten en besteed aandacht aan het verwerken en bewaren van klantgegevens. Zorg dat op de website het privacyreglement voor klanten eenvoudig is te vinden. Zorg verder voor een overzicht met daarin vermeld welke gegevens van klanten beschikbaar komen en met welk doel deze worden gebruikt. Vul eventueel de opdrachtbevestiging naar klanten aan met een passage over omgang met persoonsgegevens.
  • Zorg dat er correcte verwerkersovereenkomsten worden gesloten met derde partijen waarin de verplichtingen over en weer zijn geregeld. Zo kan daarin bijvoorbeeld worden vastgelegd dat er bij uitdiensttreding ook naar derden, zoals de loonadministratie, gecommuniceerd wordt dat de gegevens van werknemers verwijderd moeten worden.
  • Zorg dat medewerkers binnen de onderneming bekend zijn met de regels met betrekking tot privacy binnen het bedrijf en met wat er in dit kader op papier is gezet over de omgang met de persoonsgegevens en dat de opgestelde reglementen ook daadwerkelijk worden nageleefd. Die reglementen kunnen bijvoorbeeld worden vastgelegd in een handboek, eventueel gekoppeld aan een checklist om te borgen dat er uitvoering aan gegeven wordt. Stel een werknemer aan die in de gaten houdt of aan de regels wordt voldaan.
  • Betrek de ondernemingsraad (OR) tijdig bij het proces van voorbereidingen en implementatie van de privacyregels van de AVG, en de gevolgen voor de gegevensbescherming van het personeel. De OR heeft instemmingsrecht (artikel 27 WOR) bij regelingen voor het verwerken van persoonsgegevens van werknemers en voor personeelvolgsystemen.
  • Check of er binnen de organisatie een Data Protection Impact Assessment (DPIA) moet worden uitgevoerd. Een DPIA of ‘gegevensbeschermingseffectbeoordeling’ dient te worden opgesteld als bij verwerking van persoonsgegevens een groot privacyrisico ontstaat voor de betrokken personen. De Autoriteit Persoonsgegevens heeft een lijst van soorten verwerkingen opgesteld waarvoor het uitvoeren van een DPIA verplicht is vóórdat het verwerken begint. De lijst is niet uitputtend, het zijn voorbeelden. Er is door de Europese privacytoezichthouders gezamenlijk een lijst met negen criteria opgesteld aan de hand waarvan organisaties zelf een risicobepaling kunnen uitvoeren en kunnen bepalen of er een hoog privacyrisico geldt.
    • Voor het uitvoeren van een Data Protection Impact Assessment kan ook instemming van de OR benodigd zijn.
  • Check of de aanstelling van een functionaris voor de gegevensbescherming (FG) of Data Protection Officer verplicht is in de onderneming. Die verplichting geldt voor:
    • Overheidsinstanties en publieke organisaties, zorg- en onderwijsinstellingen;
    • Organisaties die als kernactiviteit op grote schaal mensen volgen en hun persoonsgegevens verwerken, zoals ziekenhuizen en bedrijven die cameratoezicht aanbieden;
    • Organisaties die als kernactiviteit op grote schaal bijzondere persoonsgegevens verwerken, zoals gegevens over ras, politieke opvatting, gezondheid, geloofsovertuiging of strafrechtelijke zaken.
Tags: Algemene Verordening Gegevensbescherming, AVG, data privacy impact assessment, DPIA, GDPR, General Data Protection Regulation, persoonsgegevens, verwerkingsregister
vorige artikel