ARBEID EN PRIVACY

Privacy en AVG/GDPR: 4 aandachtspunten voor werkgevers

07-09-2017

Maurits vierkant

MAURITS VAN BUREN

Arthur van der Hoeff 02

ARTHUR VAN DER HOEFF

ZIE OOK

Privacy Impact Assessment (PIA)

Advice on appointing a Data Protection Officer

Dutch Data Protection Authority presents its agenda for 2017


Het privacyrecht omvat, kort gezegd, alle wetgeving met betrekking tot het recht op de bescherming van de persoonlijke levenssfeer. Dit fundamentele recht is vastgelegd in een aantal internationale verdragen en nader uitgewerkt in Europese en nationale wetgeving. Het betreft onder meer de Wet bescherming persoonsgegevens (Wbp) – een implementatie van de Europese Privacyrichtlijn. De Wbp en de Privacyrichtlijn worden per 25 mei 2018 vervangen door de Europese Algemene Verordening Gegevensbescherming (AVG). Deze nieuwe wet zal belangrijke gevolgen hebben voor organisaties die persoonsgegevens verwerken.

U kunt bij ons terecht voor advies over hoe om te gaan met privacyrecht. Wij kunnen een eenmalige quickscan verrichten van uw organisatie. Daarbij worden alle datastromen inzichtelijk gemaakt en wordt – indien nodig – aangegeven wat u concreet kunt doen om uw organisatie in lijn te brengen met de geldende privacyregels. Wij kunnen u ook helpen bij de implementatie van de nieuwe privacyregels in uw organisatie en bedrijfsprocessen. Verder beantwoorden wij specifieke vragen – bijv. in hoeverre een bepaalde gegevensverwerking binnen de wettelijke kaders valt.

Volgend jaar, vanaf 25 mei 2018, zal de Europese Algemene Verordening Gegevensbescherming (AVG) van kracht worden.[1] Deze nieuwe wet zal belangrijke gevolgen hebben voor organisaties die persoonsgegevens verwerken. Vrijwel alle ondernemingen en organisaties verwerken in meer of mindere mate persoonsgegevens. Dat betreft o.a. gegevens over het in de onderneming werkzame personeel. Denk aan NAW-gegevens en gegevens over het functioneren van werknemers. Maar ook gegevens over ziekteverzuim vallen hieronder. Ondernemingen zullen in de praktijk vaak ook andere persoonsgegevens verwerken (bijv. klantgegevens) maar in dit artikel focussen wij op gegevens m.b.t. het personeel.

Welke gevolgen heeft de AVG voor organisaties gezien vanuit hun rol als werkgever? En hoe kunnen werkgevers hier op anticiperen? Wij bespreken in dat kader 4 belangrijke aandachtspunten.

1. Het privacyrecht in a nutshell

Voor een goed begrip van de talrijke privacyregels is het belangrijk e.e.a. in de juiste context te plaatsen. Het privacyrecht omvat, kort gezegd, alle wetgeving met betrekking tot het recht op de bescherming van de persoonlijke levenssfeer. Dit fundamentele recht is vastgelegd in een aantal internationale verdragen en nader uitgewerkt in Europese en nationale wetgeving. Het betreft onder meer de Nederlandse Wet bescherming persoonsgegevens (Wbp) – een implementatie van de Europese Privacyrichtlijn. De Wbp en de Privacyrichtlijn worden per 25 mei 2018 vervangen door de AVG.

Wanneer hebt u hier als werkgever mee te maken? Dat is vrijwel altijd het geval. De regels zijn namelijk van toepassing op het moment dat u persoonsgegevens verwerkt. Een persoonsgegeven is een gegeven dat betrekking heeft op één specifieke persoon. Bijv. een naam, een adres of een pasfoto. Van verwerken is, kort gezegd, sprake op het moment dat u iets doet met deze persoonsgegevens. U slaat de gegevens bijv. op, u combineert de gegevens met andere gegevens die u hebt verkregen of u verstrekt de gegevens aan een andere partij. Bij arbeidsrelaties kan hier in de regel niet aan worden ontkomen daar werkgevers op grond van arbeids- en belastingwetgeving al verplicht zijn bepaalde persoonsgegevens te verwerken.

De regels in voornoemde privacywetten zijn gebaseerd op een aantal basisprincipes, bijv. het beginsel van rechtmatigheid, behoorlijkheid en transparantie. Ook vertrouwelijkheid en doelbinding zijn belangrijke beginselen. Deze beginselen komen tot uiting in de diverse privacyregels. Neem bijv. het voorschrift dat persoonsgegevens alleen maar mogen worden verwerkt als dit berust op ten minste één van de zes wettelijke grondslagen. Aan het vereiste van een wettelijke grondslag kan voldaan zijn als de verwerking noodzakelijk is voor de uitvoering van een overeenkomst.[2] In het geval van werknemers is dat de arbeidsovereenkomst. Een grondslag voor de rechtmatige verwerking van persoonsgegevens kan ook zijn de toestemming van betrokkene. Deze grondslag is echter in de relatie werkgever/werknemer in de praktijk lastig te gebruiken. Wij lichten dat verderop in deze bijdrage nader toe. Een ander voorbeeld is de verplichting werknemers (proactief) te informeren over het feit dat hun persoonsgegevens worden verwerkt.[3]

 

2. Informeer werknemers dat u persoonsgegevens verwerkt

Op grond van de AVG hebt u een informatieplicht jegens werknemers zodra u persoonsgegevens van het personeel verwerkt.[4] Onder andere de volgende informatie moet worden verstrekt:

– Identiteit en contactgegevens van de werkgever, de andere organisaties die in het kader van de arbeidsrelatie persoonsgegevens verwerken (bijv. de arbodienst, verzuimverzekeraar, externe administrateurs, etc.), en – voor zover van toepassing – de functionaris gegevensbescherming (FG);

– Het doel of de doelen waarvoor u de persoonsgegevens verwerkt;

– Of u persoonsgegevens naar het buitenland transporteert en welke waarborgen dat land biedt ter bescherming van het recht op privacy. Hiervan kan sprake zijn als bijv. een kopie van bepaalde personeelsgegevens centraal wordt opgeslagen op een server van het hoofdkantoor in het buitenland;

– Hoe lang de gegevens worden bewaard;

– De rechten die de werknemer heeft m.b.t. de verwerking van zijn persoonsgegevens. Denk aan het recht op inzage, rectificatie, wissing, beperking, recht om bezwaar te maken en om een klacht in te dienen bij de Autoriteit Persoonsgegevens (AP), en het recht om een eenmaal gegeven toestemming weer in te trekken;

Indien u een personeelshandboek hebt, kan hier een hoofdstuk “Privacy” aan worden toegevoegd waarin u deze informatie verstrekt. Ook met een volledige privacyverklaring kunt u aan deze verplichting voldoen. Let op dat deze verklaringen continu getoetst worden aan nieuwe ontwikkelingen en consequent worden verstrekt aan (nieuwe) personeelsleden.

3. Leg vast op welke wijze u persoonsgegevens verwerkt

Verder schrijft de AVG voor dat organisaties moeten vastleggen (‘registreren’) op welke wijze zij persoonsgegevens verwerken.[5] Deze documentatieplicht geldt altijd voor werkgevers die 250 werknemers of meer in dienst hebben. Maar ook voor werkgevers met een kleiner personeelsbestand kan deze verplichting gelden. Volgens de AVG is dat o.a. het geval als het verwerken van persoonsgegevens ‘niet incidenteel’ is of als de werkgever ook bijzondere persoonsgegevens verwerkt.[6] Dit is niet erg concreet. Van het verwerken van bijzondere persoonsgegevens is bovendien al sprake op het moment dat u (documenten met) pasfoto’s opslaat van uw personeel (zie de toelichting van de AP). Naast de registratieverplichting kent de AVG de verplichting voor de werkgever om te kunnen aantonen dat de verwerking in overeenstemming met de AVG wordt uitgevoerd[7]. Kortom, ook voor een kleine werkgever kan het aan te raden zijn de verwerkingen van persoonsgegevens te documenteren.

Met het oog op deze documentatieplicht moeten, kort gezegd, de hiervoor – in het kader van de informatieplicht – genoemde gegevens ook intern worden vastgelegd in een register. Daarnaast moet ook worden beschreven welke technische en organisatorische beveiligingsmaatregelen zijn getroffen (wordt informatie versleuteld? Zijn databases alleen toegankelijk met een wachtwoord? Welke personen in de organisatie hebben een wachtwoord? Etc.). Ook moet beschreven worden van wie de gegevens worden verwerkt (in beginsel zullen dit werknemers zijn, maar ook zzp’ers en inleenkrachten zouden hieronder kunnen vallen) en om wat voor een gegevens het gaat. Dit register kan schriftelijk maar mag ook digitaal worden bijgehouden.

 

4. Leg nogmaals onder de loep of de huidige verwerkingen wel zijn toegestaan

Hoewel de regels uit hoofde van de AVG m.b.t. de vraag in hoeverre persoonsgegevens daadwerkelijk mogen worden verwerkt inhoudelijk niet veel verschillen van de (huidige) regels onder de Wbp, loont het toch de moeite nog een keer goed te beoordelen of de huidige verwerkingen wel zijn toegestaan.

Daarvoor is een aantal redenen te bedenken. Ten eerste geldt dat de AP – de Nederlandse toezichthouder op het gebied van privacy – op grond van de AVG forse boetes kan opleggen. Deze kunnen oplopen tot 10 miljoen euro of 2% van de totale wereldwijde omzet in het voorgaande boekjaar,[8] en zelfs tot 20 miljoen euro of 4% van de totale wereldwijde omzet in het geval van ernstige overtredingen.[9] Op grond van de huidige Wbp is het niet mogelijk dermate hoge boetes op te leggen. Hoewel de op grond van de AVG opgelegde sancties wel evenredig moeten zijn,[10] en het nog de vraag is op welke wijze de AP in de praktijk gebruik zal maken van haar sanctiebevoegdheid, moet het risico op een hoge boete serieus worden genomen.

Een ander belangrijk punt is dat er in de praktijk met enige regelmaat (ten onrechte) op wordt vertrouwd dat als een werknemer eenmaal toestemming heeft gegeven voor het verwerken van zijn persoonsgegevens, de verwerking dan rechtmatig is. Hoewel een verwerking naar de letter van de wet rechtmatig is als de betrokkene daarvoor toestemming heeft gegeven,[11] wordt het niet snel aangenomen dat iemand daadwerkelijk toestemming heeft gegeven. Zeker in het geval van een arbeidsrelatie waarin de werknemer in een afhankelijke positie staat t.o.v. zijn werkgever. Er kunnen dan ook andere redenen meespelen, bijv. de angst voor represailles of negatieve aandacht als de werknemer geen toestemming verleent. Zie in dat kader ook het recente advies van de Artikel 29-Werkgroep over het verwerken van persoonsgegevens op het werk.[12] Het is dus aan te bevelen goed te beoordelen of een bepaalde verwerking los van de door de werknemer gegeven toestemming rechtmatig is (bijv. omdat deze noodzakelijk is in het kader van de arbeidsovereenkomst).

Ten slotte gelden juist op het gebied van privacy in de arbeidsrelatie een groot aantal specifieke regels waaraan werkgevers zich moeten houden. Bijv. rondom sollicitanten, screening en controle van personeel, de rol van de OR, zieke medewerkers, het bewaren/vernietigen van gegevens en het verstrekken van gegevens aan derden.

 

Conclusie

Het bovenstaande laat zien dat werkgevers er goed aan doen te anticiperen op de nieuwe privacyregels die per 25 mei 2018 van kracht worden. Het is belangrijk in dat kader te kijken of het personeel voldoende geïnformeerd is, of de huidige verwerkingen in kaart zijn gebracht en duidelijk zijn vastgelegd in een register, en of de wijze waarop momenteel persoonsgegevens worden verwerkt wel is toegestaan. Overigens zijn dit niet de enige punten waar u als werkgever rekening mee moet houden. De AVG schrijft bijv. ook voor dat in sommige gevallen een onderzoek moet worden verricht naar de concrete risico’s van een gegevensverwerking (een ‘data protection impact assessment’).[13] Maar door bovenstaande acties te nemen – eventueel na inwinning van juridisch advies – bent u een belangrijke stap verder richting het voldoen aan de privacyregels.

U kunt bij ons terecht voor advies over hoe om te gaan met privacyrecht. Wij kunnen een eenmalige quickscan verrichten van uw organisatie. Daarbij worden alle datastromen inzichtelijk gemaakt en wordt – indien nodig – aangegeven wat u concreet kunt doen om uw organisatie in lijn te brengen met de geldende privacyregels. Wij kunnen u ook helpen bij de implementatie van de nieuwe privacyregels in uw organisatie en bedrijfsprocessen. Verder beantwoorden wij specifieke vragen – bijv. in hoeverre een bepaalde gegevensverwerking binnen de wettelijke kaders valt.

Hebt u een vraag over privacyrecht?

Stel hem aan ons - dan nemen wij contact met u op.

Uw naam (verplicht)

Uw e-mailadres (verplicht)

Uw vraag

Toelichting

Voetnoten

[1] In het Engels: General Data Protection Regulation of afgekort ‘GDPR’.
[2] Art. 6 lid 1 AVG.
[3] Art. 13 en 14 AVG.
[4] Art. 13 en 14 AVG. Deze verplichting geldt overigens ook al op grond van de huidige Wbp. Aangezien de sancties op niet-naleving onder de AVG echter veel zwaarder kunnen zijn, is het belangrijk bewust te zijn van deze verplichting.
[5] Art. 30 AVG.
[6] Art. 30 lid 5 AVG.
[7] Art. 24 lid 1 AVG.
[8] Art. 83 lid 4 AVG.
[9] Art. 83 lid 5 AVG.
[10] Art. 83 lid 1 AVG.
[11] Art. 6 lid 1 onder a AVG.
[12] De Artikel 29-Werkgroep is het onafhankelijke advies -en overlegorgaan van Europese privacytoezichthouders.
[13] Art. 35 AVG.