De Autoriteit Persoonsgegevens gaat steviger inzetten op handhaving!

De Algemene Verordening Gegevensbescherming (“AVG”) is inmiddels alweer bijna een jaar van toepassing. Organisaties kregen tot 25 mei 2018 om hun bedrijfsvoering met de AVG in overeenstemming te brengen. De Autoriteit Persoonsgegevens (“AP”) heeft er bewust voor gekozen om zich in 2018 vooral te richten op voorlichting, normuitleg en normoverdracht. In 2019 blijft de AP voorlichting geven over de nieuwe privacywet, maar wordt ook steviger ingezet op handhaving. Dat blijkt uit het jaarverslag 2018 dat de AP begin deze maand heeft gepubliceerd. Als uw bedrijf de nieuwe privacywetgeving nog niet naleeft, is het sterk aan te bevelen om actie te ondernemen.

De AVG vanuit arbeidsrechtelijk perspectief

Werkgevers hebben bij uitstek te maken met de verwerking van persoonsgegevens (en het bijkomende recht op privacy van werknemers). Denk bijvoorbeeld aan verwerking van persoonsgegevens voor de personeelsadministratie of ten behoeve van de beoordeling van het functioneren van werknemers.

Aan de verwerking van persoonsgegevens door werkgevers zijn voorwaarden verbonden. Er moet bijvoorbeeld sprake zijn van een rechtmatige verwerkingsgrond en de verwerking moet proportioneel zijn en voldoen aan de eisen van subsidiariteit. Dit was voor de komst van de AVG ook al zo.

Van belang is dat werknemers met de komst van de AVG meer rechten hebben gekregen; zij hebben meer zeggenschap over hun persoonsgegevens en betere mogelijkheden om voor zichzelf op te komen. Tegelijkertijd hebben werkgevers meer verantwoordelijkheden gekregen. Hieronder de verplichtingen waar u als werkgever in ieder geval aan moet voldoen op een rijtje:

• Informatieplicht; werkgevers moeten hun werknemers actief informeren over onder meer: de verwerkingsdoeleinden van persoonsgegevens, de grondslag voor verwerking, eventuele gegevenstransport naar het buitenland, het klachtrecht van werknemers bij de AP, bewaartermijn van persoonsgegevens, etc. Werkgevers kunnen dit het beste doen door naar huidige en nieuwe werknemers een informatiebrief te versturen of een privacyreglement in het personeelshandboek/arbeidsreglement op te nemen.
• Bijhouden register van verwerkingsactiviteiten; werkgevers zijn verplicht een register van verwerkingsactiviteiten bij te houden. Daarin wordt onder meer vastgelegd welke persoonsgegevens worden verwerkt, wat het doel is van de verwerking en de bewaartermijnen van de persoonsgegevens.
• Opstellen verwerkersovereenkomsten met derden; werkgevers schakelen doorgaans derde partijen in zoals arbodiensten en pensioeninstanties. Het is belangrijk dat duidelijk wordt vastgelegd wat ieders verantwoordelijkheden zijn bij de verwerking van persoonsgegevens. Daarmee wordt zoveel mogelijk voorkomen dat de verwerkingsverantwoordelijke verantwoordelijk is voor handelingen van een derde partij in strijd met de AVG.
• Aanstellen functionaris gegevensbescherming (FG); sommige werkgevers zijn verplicht een FG als interne toezichthouder aan te stellen. Dit geldt bijvoorbeeld voor organisaties die op grote schaal met bijzondere persoonsgegevens werken. Bijzondere persoonsgegevens zijn persoonsgegevens die gezien hun aard extra gevoelig zijn, zoals gegevens waaruit ras of etnische afkomst blijkt of gegevens over gezondheid.
• Data Protection Impact Assessment (DPIA); als een bepaalde verwerking van persoonsgegevens naar verwachting een hoog privacy risico oplevert, kunnen werkgevers verplicht zijn een DPIA uit te voeren om de risico’s in kaart te brengen. Beperking van risico’s en overleg met de AP kan vervolgens nodig zijn. De Autoriteit Persoonsgegevens heeft een lijst van soorten verwerkingen opgesteld waarvoor het uitvoeren van een DPIA verplicht is. Deze lijst is niet uitputtend.
• Meldplicht datalekken: werkgevers zijn verplicht om een datalek binnen 72 uur te melden bij de AP. Wanneer een werknemer bijvoorbeeld een USB stick met persoonsgegevens kwijtraakt, is de werkgever verantwoordelijk voor de melding bij de AP. In dit verband doet de werkgever er goed aan een intern beleid vast te stellen.
• Beveiligingsplicht: persoonsgegevens dienen beschermd te worden, onder meer door een intern beleid aangaande de toegang tot persoonsgegevens.

Verder is het belangrijk dat werkgevers rekening houden met de rechten van werknemers, waaronder:

• Het recht op informatie: de werknemer heeft het recht op bepaalde informatie met betrekking tot zijn/haar gegevensverwerking. Zie in dit verband ook voornoemde informatieplicht voor werkgevers.
• Het recht op kopie: een werknemer kan bijvoorbeeld vragen om een kopie van zijn/haar personeelsdossier. De werkgever zal de kopie in principe kosteloos moeten verschaffen en daarbij moeten nagaan of er geen rechten van derden (zoals klanten of collega’s) worden geschonden.
• Het recht op vergetelheid; dit recht bestond al op basis van EU rechtspraak maar is nu expliciet in de AVG opgenomen. Op basis van dit recht dienen persoonsgegevens bijvoorbeeld te worden verwijderd indien deze niet meer nodig zijn of wanneer sprake is van onrechtmatige verwerking.

Werkgevers moeten in beginsel binnen één maand reageren indien een werknemer op basis van een dergelijk recht een verzoek indient. Alleen als een verzoek complex is of een organisatie veel verzoeken ontvangt, mag de termijn eenmalig met maximaal 2 maanden worden verlengd.

Sancties bij niet-naleving AVG
Organisaties moeten op basis van hun verantwoordingsplicht kunnen aantonen dat zij zich aan de AVG houden. De AP kan hoge boetes opleggen als niet wordt voldaan aan de nieuwe privacywetgeving. De boetes kunnen oplopen tot 20 miljoen euro of 4% van de wereldwijde jaaromzet!

Streng privacy recht versus pragmatisch arbeidsrecht
Tot slot: het strenge privacy recht wil nog wel eens botsen met het pragmatische arbeidsrecht. Hoe zit het bijvoorbeeld met de controle van e-mail accounts van werknemers, (heimelijk) cameratoezicht en screening van sollicitanten? Denk ook aan registratie van gegevens bij ziekte: waar mogen werkgevers wel en waar mogen werkgevers niet naar vragen? Dit zijn interessante vraagstukken die per geval moeten worden bekeken.

Indien u vragen heeft over de verwerking van persoonsgegevens of uw bedrijfsvoering nog niet in overeenstemming is met de AVG, kunt u gerust contact met ons opnemen.