Op 25 mei 2018 treedt de Algemene verordening
gegevensverwerking (AVG) in werking. Op die dag vervalt de Wet bescherming
persoonsgegevens. Die wet was opgesteld om te voldoen aan de eisen van een
Europese Richtlijn van 1995. De rechten en verplichtingen op het gebied van
privacy worden vanaf 25 mei 2018 voor alle lidstaten van de Europese Unie
direct geregeld door de nieuwe Europese Verordening.
Gevolgen
Hoewel grote delen van hetgeen in de AVG wordt geregeld ook
al waren opgenomen in de Wet bescherming persoonsgegevens, gaan er vanaf 25 mei
2018 ook nieuwe rechten en verplichtingen gelden. Verder worden de boetes die
de toezichthouder (voor Nederland blijft dat de Autoriteit Persoonsgegevens)
kan opleggen aanzienlijk verhoogd. Was onder de Wet bescherming
persoonsgegevens de maximale boete € 820.000, onder de AVG kan de
Autoriteit Persoonsgegevens boetes opleggen tot maximaal € 20 miljoen of, als
dat hoger is, 4% van de wereldwijde jaaromzet van een bedrijf.
De inwerkingtreding van de AVG fungeert in de praktijk voor
veel bedrijven vooral als een "wake-up call” om te gaan voldoen aan de
wettelijke verplichtingen op het gebied van privacy. Veel bedrijven hebben
nooit eerder onderzocht of zij aan die verplichtingen voldoen respectievelijk
wat zij zouden moeten ondernemen om aan die verplichtingen te gaan voldoen. Ook
als er van uitgegaan wordt dat de toezichthouder op 25 mei 2018 niet direct
voor de deur staat om boetes op te leggen, is het voor bedrijven belangrijk om
aan de wettelijke verplichtingen op het gebied van privacy te voldoen.
Schending van die verplichtingen kan immers leiden tot negatieve publiciteit en
imagoverlies.
Hoe kunnen ondernemers voldoen aan de verplichtingen van de AVG?
Ondernemers die willen weten wat zij zouden moeten doen om
aan de nieuwe wettelijke verplichtingen te gaan voldoen vinden daarover ruime
informatie op het internet. Tegelijkertijd is het allerminst eenvoudig om die
informatie op de eigen praktijk toe te passen. En eerlijk gezegd: wie die
informatie tot zich neemt, voelt de moed ook wel een beetje in de schoenen
zakken. Maar dat kan natuurlijk geen reden zijn om dan maar niets te doen.
Wie vervolgens echter hulp zoekt bij het inventariseren en
het implementeren van de benodigde maatregelen in de eigen organisatie, zal
vaststellen dat adviseurs en consultants op dit gebied bezet zijn en/of dat hun
inschakeling zeer hoge kosten met zich meebrengt.
Ondersteuning
Hoewel ons kantoor niet is gespecialiseerd in het privacyrecht,
willen wij onze cliënten in deze lastige situatie toch van dienst zijn.
Althans: in de rol waarin wij die cliënten in onze praktijk bedienen, dus in de
rol van werkgever. Met het privacyrecht hadden wij altijd al te maken omdat wij
voor werkgevers al sinds 1998 zaken behandelen betreffende arbeidsongeschikte
werknemers[1]. De
invoering van de AVG is voor de advocaten van ons kantoor reden geweest om zich
verder in het privacyrecht te verdiepen.
Om onze cliënten van dienst te kunnen zijn willen wij hen
een aantal instrumenten aanreiken, waarmee zij zelf kunnen zorgen dat zij aan
de verplichtingen van de AVG gaan voldoen. Gelet op de achtergrond zoals die
hierboven is weergegeven, willen wij ons daarbij echter uitdrukkelijk beperken
tot het voldoen aan de verplichtingen van de AVG in de rol van werkgever.
Wij willen de volgende instrumenten aan onze cliënten ter
beschikking stellen:
N.B.: Een "verwerkingsverantwoordelijke” is op grond van
artikel 28 van de AVG verplicht om een dergelijke overeenkomst met een derde te
sluiten indien hij persoonsgegevens onder zijn verantwoordelijkheid door een
derde laat verwerken.
naar verwachting begin april 2018 beschikbaar:
een model voor een informatiebrief (met
toelichting)
N.B.: Een "verwerkingsverantwoordelijke” is op grond van
artikel 14 van de AVG verplicht om degene van wie hij persoonsgegevens verwerkt
te informeren indien de te verwerken persoonsgegevens niet van die persoon zelf
maar van een derde worden verkregen.
een model voor een register van
verwerkingsactiviteiten (met toelichting)
N.B.: Een "verwerkingsverantwoordelijke”
is op grond van artikel 30 van de AVG verplicht om een register bij te houden
van verwerkingsactiviteiten die onder zijn verantwoordelijkheid plaatsvinden
als bij die verwerkingsverantwoordelijke tenminste 250 werknemers in dienst
zijn of als bij de verwerkingsverantwoordelijke meer dan incidenteel bijzondere
persoonsgegevens (bijvoorbeeld medische gegevens) worden verwerkt.
een protocol voor het melden van datalekken en
een register van datalekken (met
toelichting)
N.B.: Alleen het register is (op
grond van artikel 34 lid 8 van de AVG) verplicht. Het hanteren van een protocol
is echter aan te bevelen om te waarborgen dat de melding van datalekken in
voorkomend geval overeenkomstig de AVG plaatsvindt.
een protocol voor het gebruik van e-mail en internet
[1] Daarbij gaat het dan om de medische gegevens van die werknemers. Voor het recht om als advocaat inzage te krijgen in deze medische gegevens (zij het dan met een geheimhoudingsverplichting ten opzichte van onze cliënt als werkgever) hebben wij eerst moeten procederen tot de Centrale Raad van Beroep daarover in 2001 een uitspraak deed.
Is uw werknemer bijna twee jaar arbeidsongeschikt? Dan komen veel vragen op u af. Wilt u zeker weten dat u de juiste beslissingen neemt? Neem dan tijdig contact met ons op voor een WIA-Poort Scan!
Wilt u daarbij ook concrete adviezen ontvangen waarmee u eventueel zelf gewenste acties kunt nemen? Upgrade dan uw arbeidsrecht abonnement naar een plus- of top abonnement!