de nieuwe privacyregels: deze begrippen moet je kennen

  • algemene verordening gegevensbescherming (avg)

    Per 25 mei 2018 geldt de Algemene verordening gegevensbescherming (AVG). Daarmee zijn de privacyrechten van mensen uitgebreid en versterkt, en hebben organisaties meer verplichtingen gekregen als het gaat om het verwerken van persoonsgegevens. Deze nieuwe wet vervangt de Wet bescherming persoonsgegevens (Wbp) en is geldig in de hele Europese Unie (EU)

  • autoriteit persoonsgegevens (ap)

    De Autoriteit Persoonsgegevens houdt in Nederland toezicht op de naleving van de wettelijke regels voor bescherming van persoonsgegevens en adviseert over nieuwe regelgeving. Bij overtredingen kan de AP handhaven, onder andere door het opleggen van boetes.

  • bewaartermijn persoonsgegevens

    In de AVG is niets vastgelegd over de bewaartermijnen voor de personeelsadministratie. Maar je mag persoonsgegevens van je werknemers niet langer bewaren dan nodig is, voor het doel waarvoor je deze gegevens gebruikt. Na het aflopen van de bewaartermijn moeten de persoonsgegevens worden vernietigd.

  • bijzondere persoonsgegevens

    Naast de ‘gewone’persoonsgegevens (zoals naam, adres, woonplaats en telefoonnummer) bestaan er zogeheten ‘gevoelige’ gegevens. Dit zijn bijvoorbeeld gegevens over godsdienst of levensovertuiging, ras, politieke gezindheid, gezondheid, seksuele leven, of informatie over het lidmaatschap van een vakvereniging. Deze gegevens mag je, als werkgever, niet zomaar verwerken. 

  • data protection impact assessment (dpia)

    Data protection impact assessment wordt ookwel privacy impact assessment (PIA) of gegevensbeschermingseffectbeoordeling genoemd. Het is een instrument om vooraf de privacyrisico’s van een gegevensverwerking in kaart te brengen, zodat je vervolgens maatregelen kunt nemen om deze risico’s in te dammen. 

  • functionaris voor de gegevensbescherming (fg)

    Overheidsinstanties en organisaties die bepaalde verwerkingen van persoonsgegevens hebben, zijn verplicht om iemand aan te stellen die binnen de organisatie toezicht houdt op de naleving van de AVG. 

  • general data protection regulation (gdpr)

    GDPR is de Engelse benaming de voor Algemene verordening gegevensbescherming (AVG), die in heel Europa geldt sinds 25 mei 2018.

  • melding datalek

    Bij een datalek gaat het om onbedoelde toegang tot, vernietiging, wijziging of vrijkomen van persoonsgegevens bij een organisatie. Bijvoorbeeld: een kwijtgeraakte usb-stick met persoonsgegevens, een gestolen laptop of een inbraak in een databestand door een hacker. Als werkgever moet je een datalek direct melden bij de Autoriteit Persoonsgegevens en aan de betrokkenen (de mensen van wie de persoonsgegevens zijn gelekt). 

  • ondernemingsraad
  • persoonsgegevens

    Een persoonsgegeven is elk gegeven over een geïdentificeerde of identificeerbare natuurlijke persoon. Dit betekent dat informatie ofwel direct over iemand gaat, ofwel naar deze persoon te herleiden is. Dat het om een natuurlijke persoon moet gaan, houdt in dat gegevens van overleden personen of van organisaties geen persoonsgegevens zijn. 

  • privacyrechten van werknemers

    De privacyrechten van werknemers zijn onder de AVG behoorlijk uitgebreid. De werkgever moet zijn werknemer op zijn privacyrechten wijzen voordat de arbeidsovereenkomst wordt afgesloten. Dat moet in begrijpelijke taal en in een gemakkelijk toegankelijke vorm gebeuren. 

  • sollicitanten en privacy

    Bij een sollicitatieprocedure moet de werkgever de kandidaat-werknemer van tevoren toestemming vragen als hij nadere inlichtingen wil opvragen over de gegevens en referenties op het cv van de sollicitant. De werkgever moet altijd bekijken of de gegevens daadwerkelijk relevant zijn voor de functie. Dat geldt ook voor informatie over de sollicitant die online en openbaar is.

    tip

    Bekijk hier de video waarin de Nederlandse toezichthouder Autoriteit Persoonsgegevens (AP) de essentie van de nieuwe wetgeving uitlegt.

  • verantwoordingsplicht

    De werkgever is moet kunnen aantonen dat hij de juiste maatregelen heeft genomen in het kader van zijn wettelijke verplichtingen om de privacyrechten van zijn werknemers te waarborgen. Deze verantwoordingsplicht betekent dat hij moet documenteren:

    • welke persoonsgegevens in de organisatie worden verwerkt
    • met welk doel deze persoonsgegevens worden verwerkt
    • waar de persoonsgegevens vandaan komen
    • met wie de organisatie deze persoonsgegevens deelt.
  • verwerkingsregister

    Het opstellen van een register van verwerkingsactiviteiten is onder de AVG vaak een verplichte maatregel. In het register staat informatie over de persoonsgegevens die je verwerkt. Of je zo'n register moet opstellen, hangt af van de omvang van je organisatie en het type gegevens dat je verwerkt.

  • verwerking van persoonsgegevens

    Dit zijn alle handelingen die een organisatie kan uitvoeren met persoonsgegevens: verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, doorzenden, verspreiden, beschikbaar stellen, samenbrengen, met elkaar in verband brengen, afschermen, uitwissen en vernietigen. Niet iedere organisatie mag zomaar persoonsgegevens verwerken. Daarvoor moet een zogeheten wettelijke grondslag bestaan.