De tijd begint te dringen. De Algemene Verordening Gegevensbescherming (AVG), ook wel General Data Regulation Protection (GDPR) genoemd, is van toepassing vanaf 25 mei 2018. En het kan je niet ontgaan zijn dat dit nogal wat wijzigingen voor je organisatie mee kan brengen. Vooral ook de nodige consequenties als je het niet goed doet. Wat dacht je van een boete van 20 miljoen of 4 procent van de wereldwijde jaaromzet? De AVG is een hot item, daarom heb ik deze keer een column geschreven samen met privacyspecialist Itse Gerrits.
Verwerken van personeelsgegevens
Elke werkgever verwerkt persoonsgegevens. Denk aan de gegevens van het personeel. Deze gegevens mogen alleen worden verwerkt voor een specifiek doel en op een in de AVG genoemde grondslag. Verder moeten ze kloppen en mogen ze niet langer worden opgeslagen dan nodig is voor het doel waarvoor de data is verzameld. Bedrijven moeten kunnen aantonen dat zij de regels van de AVG correct uitvoeren. Ze moeten een register aanleggen van alle gegevens die verwerkt worden en van iedere verwerking kunnen uitleggen dat die rechtmatig is.
Toestemming vragen werknemers? Nee!
Veel werkgevers vragen aan hun werknemers toestemming om hun gegevens te mogen verwerken. Dat is geen goede grondslag. Volgens de AVG mag toestemming alleen als grondslag dienen als deze vrijelijk is gegeven. Dat is in de arbeidsrelatie vrijwel nooit het geval; de werknemer staat onder gezag van de werkgever. Daarom is aan te raden de grondslag “noodzakelijk voor het uitvoeren van de arbeidsovereenkomst” of “noodzakelijk voor het gerechtvaardigd belang van de werkgever” te kiezen.
Rechten van medewerkers
Onder de AVG hebben werknemers een aantal belangrijke rechten. Zij hebben een recht op inzage in hun bewaarde gegevens en de werkgever moet vragen beantwoorden over de verwerking van de gegevens, zoals voor hoe lang ze bewaard worden en wie toegang heeft. De werknemer heeft ook een recht op kopie. En dus ook een recht op een kopie van het personeelsdossier. Verder mogen werknemers onder andere verzoeken om herstel van onjuiste gegevens (rectificatie) en verwijdering van niet langer relevante gegevens (recht op vergetelheid). De werkgever moet in principe binnen een maand reageren op een dergelijk verzoek. Doet hij dat niet of niet naar behoren, dan kan de werknemer een klacht indienen bij de Autoriteit Persoonsgegevens of zich tot de rechter wenden.
Instemming ondernemingsraad
Waarschijnlijk moet het beleid in de organisatie worden gewijzigd door de AVG. De Ondernemingsraad kan daarbij instemmingsrecht hebben. Het is dan ook zaak om de ondernemingsraad zo vroeg mogelijk aan te haken, zodat zijn instemming in ieder geval vóór 25 mei 2018 binnen is.
Tijd voor actie
Veel bedrijven zijn al volop bezig om de verwerking van persoonsgegevens AVG-proof te maken, maar sommige bedrijven lijken nog niet volledig doordrongen te zijn van de noodzaak daartoe. Ga echter snel aan de slag. Het kost nou eenmaal veel tijd om alle gegevensverwerkingen in beeld te krijgen, vast te leggen, te categoriseren en te beoordelen op rechtmatigheid. Je kunt aanvullende informatie vinden op de website van de Autoriteit Persoonsgegevens of op de microsite van Kennedy Van der Laan.
Lees ook: GDPR: dit moet je weten over de nieuwe regelgeving van data- en privacybeveiliging