Checklist AVG

 

Met de komst van de AVG, die per 25 mei 2018 wordt ingevoerd, wordt het begrip ‘persoonsgegevens’ verder uitgebreid.

 

Bent u hier al op voorbereid? Ja? Mooi! Maar zijn ook uw medewerkers zich voldoende bewust van de privacywet- en regelgeving? Het is verstandig om ook hier aandacht aan te besteden, en dit ook regelmatig te herhalen. Als werkgever moet u er namelijk rekening mee houden dat zelfs de meest ervaren werknemers na verloop van tijd zich niet meer altijd even bewust zijn van de privacyregels.

 

En is uw internet- en e-mailprotocol eigenlijk nog wel up to date? Het is aan te bevelen om een dergelijke protocol nog eens zorgvuldig onder de loep te (laten) nemen!

 

De komst van de AVG leidt ertoe dat werknemers meer privacyinstrumenten tot hun beschikking krijgen. Naast het – nu ook al bestaande - recht op inzage en rectificatie, heeft de werknemer onder de AVG ook het recht op vergetelheid, het recht op dataportabiliteit, en het recht om zelfstandig een klacht in te dienen bij de Autoriteit Persoonsgegevens.

 

De AVG bepaalt bovendien dat in bepaalde gevallen een functionaris gegevensbescherming moet worden aangesteld, die toezicht houdt op de gegevensverwerkingen. Ook zullen sommige bedrijven een ‘data protection impact assessment’ moeten uitvoeren. Bent u ermee bekend of dit ook van toepassing is op uw organisatie?

 

De AVG stelt verder een privacyreglement verplicht. In zo’n privacyreglement kan onder andere vastgelegd worden:

  • Hoe moet worden omgegaan met het verwerken van persoonsgegevens van klanten, leveranciers en collega’s?
  • Hoe lang worden bepaalde persoonsgegevens van werknemers bewaard?
  • Welke technische en organisatorische maatregelen getroffen zijn om de persoonsgegevens te beveiligen;
  • Wat is de procedure wanneer een medewerker of sollicitant een verzoek doet om inzage, correctie, verwijdering of blokkering?
  • Wat zijn de regels met betrekking tot het monitoren van werknemers? Denk bijvoorbeeld aan het monitoren van werknemers middels cameratoezicht;
  • Wat is de interne procedure wanneer er een datalek geconstateerd wordt? Denk bijvoorbeeld aan de situatie dat een werknemer zijn smartphone, laptop of tablet per ongeluk in de trein of bij een klant laat liggen;

 

Verder zult u als werkgever in bepaalde gevallen zorg moeten dragen voor een deugdelijke bewerkingsovereenkomst. Dit is aan de orde wanneer u de verwerking van de persoonsgegevens uitbesteedt aan een andere partij, zoals bijvoorbeeld een loonadministrateur, arbodienst of pensioenfonds. Maar denk bijvoorbeeld ook aan de situatie dat gegevens in de Cloud worden opgeslagen, of in geval van externe hosting van de website. En schakelt u als werkgever een bewerker van buiten de EU in, dan moet u erop letten dat deze partij het door de EU vereiste beschermingsniveau kan garanderen. Het is dus belangrijk dat u inventariseert met welke partijen u ‘samenwerkt’ en wat ieders rol is bij de verwerking van persoonsgegevens! Omdat u als verantwoordelijke de verantwoordelijkheid draagt dat een verwerker behoorlijk omgaat met de persoonsgegevens, zult u een deugdelijke bewerkingsovereenkomst moeten sluiten. Verder zult u in de praktijk ook regelmatig moeten verifiëren of de verwerker zich aan de gemaakte afspraken houdt!

 

In geval van een privacyinbreuk kan een schadevergoeding worden gevorderd, een verbod worden gevraagd op het schadeveroorzakend gedrag, of een bevel worden gevorderd tot het treffen van maatregelen tot herstel van de gevolgen van dat schadeveroorzakend gedrag.

 

Bij overtreding van de privacyregels kan bovendien, net als nu ook het geval is, een boete worden opgelegd door de Autoriteit Persoonsgegevens. Wel worden de boetes vanaf 25 mei 2018 nóg hoger: de boete wordt namelijk onder de AVG maximaal 20 miljoen euro, of 4% van de wereldwijze jaaromzet!

 

Werknemers zouden de privacyinstrumenten mogelijk kunnen gaan inzetten om hun onderhandelingspositie te verstevigen, dan wel aanspraak te maken op een meer omvangrijke financiële compensatie dan enkel de transitievergoeding.

 

Voor zover u nog niet volledig bent voorbereid op de komst van de AVG, is het dus zaak hier alsnog zo spoedig mogelijk werk van te maken. De deadline van 25 mei a.s. nadert namelijk al snel.

De overheid heeft overigens een maar liefst 98 pagina’s(!) tellende handleiding opgesteld, welke u hier kunt vinden op.

 

Heeft u hulp nodig bij het opstellen van een bewerkingsovereenkomst of privacyreglement? Of heeft u andere vragen of advies nodig? Neem dan tijdig contact op met SPEE advocaten.