Komst nieuwe privacy wetgeving
Op 25 mei 2018 gaat de AVG (Europese Algemene Verordening Gegevensbescherming) in en bedrijven moeten vanaf dat moment voldoen aan de nieuwe regels. Deze wet heeft belangrijke gevolgen voor het opslaan van fysieke en digitale HR-gegevens. Zo moeten bedrijven in bepaalde gevallen een DPO (Data Protection Officer) aanstellen. De DPO is verplicht bij:
-alle overheidsinstanties
-andere organisaties die op grootschalige wijze bijzondere gegevens verwerken of stelselmatig personen observeren in het kader van hun kernactiviteiten.
Bedrijven mogen overigens altijd op vrijwillige basis een DPO aanstellen.
PIA (Privacy Impact Assessment)
Een PIA is alleen verplicht als er waarschijnlijk een hoog risico voor de fundamentele belangen van personen te verwachten valt. Gegevens van kwetsbare groepen (waaronder werknemers), bijzondere gegevens (etniciteit, geloof, gezondheid, vakbondslidmaatschap, etc), profiling met significante- of rechtsgevolgen, systematische monitoring, doorgifte van persoonsgegevens naar een land zonder passend beschermingsniveau, etc. zijn door de toezichthouders als richtlijnen gegeven als wat zij verstaan onder hoog risico.
Volgens de toezichthouders moet de PIA worden uitgevoerd als je aan minimaal twee van deze criteria voldoet. Dat zou betekenen dat op, bijvoorbeeld het structureel gebruik van een personeelsvolgsysteem wel een PIA moet worden gedaan, maar op de salarisadministratie en de personeelsdossiers niet (tenzij de data daarvan bijv. in India worden gehost). Ook hier geldt dat bedrijven wel op vrijwillige basis een PIA mogen doen. Dat is overigens ook verstandig, omdat de PIA hét middel is om de privacy- en compliancerisico’s in beeld te krijgen.
Persoonsgegevens bijhouden in register
Met de komst van de AVG moeten de processen rondom verwerking van persoonsgegevens worden bijgehouden in een register, met onder meer de bewaartermijnen en een omschrijving van de beveiligingsmaatregelen. Dit geldt overigens alleen voor bedrijven vanaf 250 medewerkers, tenzij het waarschijnlijk is dat de verwerking die zij verrichten een risico inhoudt voor de rechten en vrijheden van de betrokkenen, de verwerking niet incidenteel is, of het een verwerking van bijzondere categorieën van gegevens betreft (bijv. gezondheidsgegevens).Het probleem met deze uitzondering is echter dat de toepassing ervan in veel gevallen niet geldt, omdat bijvoorbeeld een gemiddeld HR-systeem misschien niet-privacygevoelig is, maar wel structureel is en dus gedocumenteerd zal moeten worden. Incidenteel nevengebruik van niet gevoelige dataverwerkingen hoeft dus door het mkb niet gedocumenteerd te worden (bijv. het verstrekken van het huisadres van een zieke medewerker aan een bloemenbezorgservice).
Overigens is het in sommige gevallen wettelijk verplicht om daadwerkelijke datalekken en het verlies van persoonsgegevens te rapporteren.
Recht om vergeten te worden?
Een algemeen recht op ‘vergeten te worden’ bestaat niet. Het recht om een verzoek in te dienen om gegevens te laten wissen geldt alleen in hele specifieke gevallen:
• Als de gegevens geen doel meer hebben (lees: als de uiterste bewaartermijn verstreken is).
• Als de gegevens worden verwerkt op basis van toestemming en de toestemming wordt ingetrokken en er geen andere reden is om de gegevens te bewaren (overigens wordt toestemming van medewerkers geacht ongeldig te zijn)
• Als de gegevens worden verwerkt op basis van een gerechtvaardigd belang van de werkgever en de medewerker slaagt erin om daar succesvol bezwaar tegen te maken en er geen andere reden is om de gegevens te bewaren.
• Als de gegevens onrechtmatig worden verwerkt (denk bijv. aan medische diagnoses die de werkgever helemaal niet mag hebben zonder expliciete toestemming van de werknemer).
• Als de gegevens moeten worden gewist op grond van de wet.
• Als het gegevens van kinderen betreft in het kader van een online dienst.
Het klokje tikt
Over minder dan een jaar geldt dus dezelfde privacywetgeving in de hele Europese Unie. Bedrijven kunnen boetes krijgen die kunnen oplopen tot 20 miljoen euro of 4% van de jaaromzet.
6 op de 10 mkb-bedrijven zijn er niet van op de hoogte dat ze over ruim 9 maanden moeten voldoen aan de nieuwe Europese privacywetgeving die tot enorme boetes kan leiden. Dat blijkt uit een peiling door MKB Servicedesk onder 3200 bedrijven. Die noemen de voorlichting door de overheid slecht.
Bedrijven binnen de zakelijke dienstverlening en de handel blijken het slechtst op de hoogte van de nieuwe wet. Van het kleinbedrijf tot 6 medewerkers wist zelfs driekwart van de respondenten van niets. Voorlichting speelt een sleutelrol.
Mocht u meer willen weten neemt u dan contact met ons op dan gaan wij graag met u in gesprek. Onze brede kennis kan er wellicht toe leiden dat, ook voor dit vraagstuk, oplossing worden gevonden.
Bronnen: