De AVG, wat wordt er van u als werkgever verwacht?

Vanaf 25 mei 2018 zal de al veelbesproken Algemene Verordening Gegevensbescherming (‘AVG’) van kracht worden. Vanaf die datum zal dezelfde privacywetgeving gelden in de hele Europese Unie. De Wet bescherming persoonsgegevens (‘Wbp’) zal dan niet meer gelden. De AVG op kent een aantal punten een overlap met de Wbp, maar de AVG introduceert ook een aantal nieuwe rechten en verplichtingen. Deze nieuwe rechten en plichten hebben vanuit arbeidsrechtelijk oogpunt een aantal belangrijke gevolgen waarop u zich als werkgever tijdig zal moeten voorbereiden. In dit Alert zullen wij daarom een overzicht geven van de belangrijkste rechten en verplichtingen en de gevolgen die dit voor werkgevers (en werknemers) zal hebben.

Meer rechten voor werknemers

Bestaande rechten zoals o.a. het recht op inzage, correctie en verwijdering blijven ongewijzigd. Ter aanvulling op deze rechten zal met de invoering van de AVG het volgende gaan gelden

Recht op informatie: Werknemers zullen het recht hebben op informatie over de beoogde bewaartermijn van de gegevens, of de gegevens worden gebruikt voor automatische besluitvorming, of de werkgever voornemens is de gegevens te transporteren naar het buitenland en welke maatregelen hij daarvoor heeft getroffen, over het recht op correctie en over het klachtrecht bij de privacy toezichthouder.

Recht op kopie: Werknemers hebben het recht de werkgever om een kopie van het volledige personeelsdossier te verzoeken. De werkgever zal aan dit verzoek moeten voldoen, echter alleen voor zover dit niet leidt tot afbreuk van de rechten en vrijheden van anderen. Hier zal de werkgever dan ook alert op moeten zijn. De vraag is of onder het nieuwe recht op kopie ook geldt voor interne notities. Dit was onder het Wbp niet het geval voor zover deze notities uitsluitend bedoeld zijn voor intern overleg en beraad. Wij denken dat hierin door de AVG geen wijziging komt.

Recht op vergetelheid: Dit recht bestaat reeds op basis van EU rechtspraak, maar zal onder de AVG een expliciete wettelijke basis hebben. Op basis van dit recht dienen gegevens van de werknemer te worden gewist indien (i) de verwerking niet langer nodig is voor de verwezenlijking van het doel, (ii) doel van de verwerking berust op instemming van de werknemer en de werknemer deze instemming intrekt, (ii) als de werknemer gegronde bezwaren maakt tegen de verwerking of (iv) als een rechtsgrond voor verwerking ontbreekt.

Recht op beperkingen van verwerking: Op basis van dit recht kunnen werknemers verzoeken om op bepaalde punten het verwerken van persoonsgegevens te beperken. Dit kan worden verzocht indien de werknemer bijvoorbeeld de juistheid van de persoonsgegevens betwist of de verwerking onrechtmatig is.

Meer verplichtingen voor werkgevers

Tegenover de rechten van de werknemers staan tevens aanvullende verplichtingen voor de werkgever.

Informatieplicht: In samenloop met het recht op informatie van de werknemers bestaat er voor de werkgever de plicht om de werknemers te informeren over het volgende:

• Doel van de verwerking;
• Contactgegevens van de eventuele aangewezen functionaris gegevensbescherming;
• De bewerkers die gegevens zullen verwerken;
• Of de gegevens worden getransporteerd naar het buitenland en zo ja, welke maatregelen/waarborgen daarvoor zijn getroffen;
• Het klachtrecht van de werknemer en waar hij terecht kan;
• De voorgenomen bewaartermijn van de gegevens; en
• Het recht van de werknemer dat hij/zij de gegeven instemming voor de verwerking mag intrekken.

Om te voldoen aan deze verplichting uit de AVG is daarom raadzaam om de werknemers vóór het aangaan van een arbeidsverhouding standaard te informeren door een informatiebrief, danwel om werknemers te informeren door bijvoorbeeld een standaard protocol in het personeelshandboek op te nemen.

Documentatieplicht: Op grond hiervan zijn werkgevers verplicht een register bij te houden van alle verwerkingsactiviteiten. Deze verplichting komt in de plaats van de meldingsplicht die op dit moment onder de Wbp geldt voor verwerking van persoonsgegevens. Hiervoor golden, onder andere ook voor arbeidsrecht gerelateerde verwerkingen, vele uitzonderingen op basis van het Vrijstellingsbesluit, die echter samen met de Wbp na invoering van de AVG zal komen te vervallen. De documentatieplicht omvat nu het bewijsstuk dat wordt voldaan aan alle verplichtingen op grond van de AVG. Werkgevers zullen, vanuit arbeidsrechtelijke perspectief, de uitvoering van de hiervoor genoemde rechten en plichten dienen te documenteren.

De documentatieplicht geldt alleen voor ondernemingen met 250 werknemers of meer en voor ondernemingen die op grote schaal gegevens van individuen verwerken en voor ondernemingen die gevoelige persoonsgegevens verwerken (bijvoorbeeld arbodiensten).

Privacy Impact Assessment: De werkgever heeft de verplichting om vóór een bepaalde verwerking een ‘gegevensbeschermingseffectbeoordeling’ te maken wanneer bij een verwerking nieuwe technologieën worden gebruikt en daardoor een hoog risico bestaat voor de rechten en vrijheden van betrokkenen. Hierin is vooral de rol van een ICT-auditor belangrijk.

Aanstellen functionaris: Voor publieke overheden en bepaalde ondernemingen die als hoofdtaak belast zijn met verwerkingsactiviteiten of die hoofdzakelijk bijzondere persoonsgegevens verwerken wordt het verplichten om een functionaris in te stellen. De functionaris wordt  naar behoren en tijdig betrokken bij alle aangelegenheden die verband houden met de bescherming van persoonsgegevens en vervult taken als (i) de werkgever informeren en adviseren over de verplichtingen uit hoofde van de AVG en (ii) toezicht houden op de naleving van de AVG.

Meldplicht datalekken: Deze plicht geldt in Nederland al sinds 1 januari 2016. Op grond hiervan hebben werkgevers kort gezegd de plicht om een datalek dat een (potentiële) impact heeft op de bescherming van persoonsgegevens te melden bij de Autoriteit Persoonsgegevens. Denk hier bijvoorbeeld aan het kwijtraken door een werknemer van een USB stick waarop persoonsgegevens staan.

Rol ondernemingsraad: Werkgevers zullen erop alert moeten zijn dat bij de uitvoering van verschillende verplichtingen uit de AVG de ondernemingsraad een instemmingsrecht kan hebben. De ondernemingsraad heeft namelijk instemmingsrecht bij het invoeren, wijzigen of intrekken van een regeling voor het verwerken van persoonsgegevens van werknemers. Op grond hiervan heeft onder andere de invoering van het hiervoor genoemde protocol instemmingsrecht.

Conclusie

Zoals volgt uit het voorgaande brengt de AVG nogal wat wijzigingen mee. U heeft als werkgever nog een aantal maanden de tijd om u hierop voor te bereiden:

• Zorg in ieder geval tijdig voor een informatiebrief of pas tijdig het arbeidsreglement aan;
• Als er een ondernemingsraad is zal de ondernemingsraad daarbij tijdig betrokken moeten worden;
• Als u verplicht wordt een functionaris voor gegevensverwerking aan te stellen is het raadzaamdeze tijdig aan te stellen;
• Als u meer dan 250 werknemers in dienst heeft zult u tijdig moeten zorgen voor een register voor alle verwerkingsactiviteiten;
• Tot slot: laat tijdig door een IT-auditor beoordelen of persoonsgegevens bij uw bedrijf voldoende beveiligd zijn.

Indien wij u behulpzaam kunnen zijn bij de uitvoering van de AVG of indien u andere vragen heeft, kunt u contact opnemen met Suzan van de Kam, Maaike Postma of één van onze andere arbeidsrechtspecialisten.