Nieuwe privacywet AVG vanaf 25 mei a.s. van kracht

De nieuwe privacywet Algemene verordening gegevensbescherming (AVG) is vanaf 25 mei a.s. van kracht. Vanaf dat moment geldt deze privacywet voor de hele Europese Unie. De Wet bescherming persoonsgegevens (Wbp) geldt dan niet meer. De AVG biedt persoonsgegevens een betere bescherming. De burger, klant of werknemer krijgt hierdoor meer rechten.

Digitale samenleving

Privacy is een grondrecht waarvoor steeds meer belangstelling is door de digitalisering van onze samenleving. De AVG zal ook op de werkvloer niet ongemerkt blijven. Werkgevers hebben immers regelmatig te maken met het verwerken van persoonsgegevens, bijvoorbeeld bij sollicitaties, beheer van personeelsdossiers, salarisadministratie en arbeidsongeschiktheid van werknemers. Daarnaast hebben werkgevers steeds meer mogelijkheden om werknemers te controleren. Bijvoorbeeld met camera’s, software dat het gebruik van internet en e-mailverkeer bijhoudt en het op afstand beheren van computers. Bij overtreding van de AVG geldt zelfs een maximale boete van € 20 miljoen of 4% van de totale jaaromzet van een organisatie. Wat houdt de AVG precies in? En wat zijn de belangrijkste rechten en verplichtingen van de AVG voor werknemers en werkgevers? 

Verwerking persoonsgegevens       

De AVG geldt voor alle organisaties binnen de Europese Unie en betreft de verwerking van persoonsgegevens. Persoonsgegevens kunnen van alles zijn: een naam, een adres, een e-mailadres, maar ook een telefoonnummer, reisgegevens of een notitie voor een afspraak met de bedrijfsarts. Onder verwerking van persoonsgegevens wordt verstaan het verzamelen, opslaan, raadplegen, verstrekken, maar ook het vernietigen van persoonsgegevens.

Rechtmatige grondslag voor verwerking persoonsgegevens

AVGUitgangspunt voor de verwerking van persoonsgegevens is dat er sprake moet zijn van rechtmatige grondslag. Dit betekent dat werkgevers alleen persoonsgegevens van werknemers mogen verwerken als daar een rechtmatige grondslag voor bestaat. Voor iedere verwerking moet de werkgever nagaan op welke grondslag deze is gebaseerd. De inbreuk op de belangen van de werknemer door de verwerking van persoonsgegevens moet een legitiem doel dienen, in verhouding staan tot het doel (proportionaliteit) en het doel moet niet op een andere, minder nadelige manier kunnen worden bereikt (subsidiariteit). Zo mogen werkgevers persoonsgegevens van werknemers niet langer bewaren dan noodzakelijk is en niet gebruiken voor een ander doel dan waarvoor deze persoonsgegevens zijn bedoeld. Werkgevers mogen bijvoorbeeld OV-reisgegevens niet gebruiken om te controleren of werknemers zich aan de werktijden houden. 

Meer rechten voor werknemers 

Veel uitgangspunten en begrippen uit de huidige Wet bescherming persoonsgegevens komen terug in de AVG, zoals het recht op inzage en verwijdering van gegevens. Door de invoering van de AVG krijgen werknemers meer mogelijkheden om voor zichzelf op te komen bij de verwerking van hun persoonsgegevens. Hun privacyrechten worden namelijk versterkt en uitgebreid door de AVG. 

Hieronder volgt een overzicht van aanvullende rechten uit de AVG:

  • Recht op informatie: werknemers hebben onder andere recht op informatie over het doel van de verwerking, bewaartermijn van gegevens, of deze gegevens worden gebruikt voor automatische besluitvorming en correctie van gegevens.
  • Recht op kopie: werknemers hebben recht op een kopie van het volledige personeelsdossier.
  • Recht op overdraagbaarheid: werknemers hebben (onder bepaalde voorwaarden) het recht om van de organisatie hun persoonsgegevens in een standaardformat te ontvangen.
  • Recht om vergeten te worden: werknemers bezitten al het recht om hun werkgever te verzoeken hun persoonsgegevens te verwijderen uit diverse systemen. Vanaf 25 mei a.s. kunnen zij ook eisen dat de werkgever de verwijdering van persoonsgegevens doorgeeft aan alle organisaties die de gegevens van de werkgever ontvingen.
  • Recht op beperking van verwerking: werknemers kunnen verzoeken om het verwerken van persoonsgegevens te beperken of (tijdelijk) te stoppen, bijvoorbeeld indien werknemers niet eens zijn met de juistheid van de persoonsgegevens.

Meer verplichtingen voor werkgevers         

De AVG legt meer de nadruk op de verantwoordelijkheid van werkgevers om aan te tonen dat zij zich houden aan de wet. Dit heet de verantwoordingsplicht. Werkgevers behoren werknemers volledig te informeren over de verwerking van persoonsgegevens. Om te voldoen aan deze verplichting kunnen werkgevers het beste bij de aanvang van een arbeidsrelatie werknemers informeren via een standaardbrief of door een bepaling in het personeelshandboek op te nemen. Daarnaast voert de AVG voor grote ondernemingen (250 of meer werknemers) een documentatieplicht in. Werkgevers moeten een register bijhouden van hun verwerkingsactiviteiten. Deze plicht geldt tevens voor ondernemingen die op grote schaal gegevens van individuen verwerken of verwerking van gevoelige persoonsgegevens (zoals medische gegevens bij de Arbodienst). 

Verder bestaat de plicht een data protection impact assessment (DPIA) uit te voeren. Dat is een instrument om vooraf de privacy-risico’s van een gegevensverwerking in kaart te brengen. En vervolgens maatregelen treffen om de risico’s te verkleinen. Een DPIA is alleen verplicht als een gegevensverwerking mogelijk een hoog privacy-risico oplevert voor de betrokkenen. Dat is bijvoorbeeld het geval als een organisatie op grote schaal systematisch en uitvoerig persoonlijke aspecten evalueert, bijzondere persoonsgegevens verwerkt en systematisch mensen volgt in een publiek toegankelijk gebied (cameratoezicht). De werkgever kan hiervoor verplicht worden om een functionaris voor gegevensverwerking in te schakelen en werknemers hierover te informeren. 

Meldplicht datalekken       

In het geval van een datalek moeten zowel werkgevers als werknemers dit melden bij de Autoriteit Persoonsgegevens. Bij een datalek valt te denken aan een computer hack of een laptop die een werknemer in de auto laat liggen, die vervolgens wordt gestolen. Verder geldt dat niet vergrendelde computers of dossiers die op een bureau liggen, een datalek kunnen veroorzaken als onbevoegden hierdoor toegang krijgen tot persoonsgegevens. 

Rol Ondernemingsraad (OR)

Tot slot moeten werkgevers zich realiseren dat bij de uitvoering van de AVG de OR instemmingsrecht bezit. De OR heeft namelijk instemmingsrecht bij het invoeren, wijzigen of intrekken van een regeling voor het verwerken van persoonsgegevens van werknemers. 

Informatie

Heeft u vragen over het privacyrecht, specifieke bepalingen uit de AVG of schendt uw werkgever uw privacy? Neem dan gerust contact op met ons. SRK heeft verschillende specialisten arbeidsrecht in huis, die dagelijks adviseren over uiteenlopende privacyvraagstukken. Samen bekijken wij wat de mogelijkheden in uw situatie zijn.

Share:

Share:

Voor alle juridische hulp