avg checklist: privacywet - van a tot z.

In de Algemene verordening gegevensbescherming (AVG) staan de privacyrechten van mensen de verplichtingen van organisaties als het gaat om het verwerken van persoonsgegevens. Deze wet heeft op 25 mei 2018 de Wet bescherming persoonsgegevens (Wbp) vervangen en is geldig in de hele Europese Unie (EU). 

De Autoriteit Persoonsgegevens houdt in Nederland toezicht op de naleving van de wettelijke regels voor bescherming van persoonsgegevens en adviseert over nieuwe regelgeving. Bij overtredingen kan de AP handhaven, onder andere door het opleggen van boetes.

In de AVG is niets vastgelegd over de bewaartermijnen voor de personeelsadministratie. Maar je mag persoonsgegevens van je werknemers niet langer bewaren dan nodig is, voor het doel waarvoor je deze gegevens gebruikt. Na het aflopen van de bewaartermijn moeten de persoonsgegevens worden vernietigd.

Naast de ‘gewone’persoonsgegevens (zoals naam, adres, woonplaats en telefoonnummer) bestaan er zogeheten ‘gevoelige’ gegevens. Dit zijn bijvoorbeeld gegevens over godsdienst of levensovertuiging, ras, politieke gezindheid, gezondheid, seksuele leven, of informatie over het lidmaatschap van een vakvereniging. Deze gegevens mag je, als werkgever, niet zomaar verwerken. 

Data protection impact assessment wordt ookwel privacy impact assessment (PIA) of gegevensbeschermingseffectbeoordeling genoemd. Het is een instrument om vooraf de privacyrisico’s van een gegevensverwerking in kaart te brengen, zodat je vervolgens maatregelen kunt nemen om deze risico’s in te dammen. 

Overheidsinstanties en organisaties die bepaalde verwerkingen van persoonsgegevens hebben, zijn verplicht om iemand aan te stellen die binnen de organisatie toezicht houdt op de naleving van de AVG. 

GDPR is de Engelse benaming de voor Algemene verordening gegevensbescherming (AVG), die in heel Europa geldt sinds 25 mei 2018.

Bij een datalek gaat het om onbedoelde toegang tot, vernietiging, wijziging of vrijkomen van persoonsgegevens bij een organisatie. Bijvoorbeeld: een kwijtgeraakte usb-stick met persoonsgegevens, een gestolen laptop of een inbraak in een databestand door een hacker. Als werkgever moet je een datalek direct melden bij de Autoriteit Persoonsgegevens en aan de betrokkenen (de mensen van wie de persoonsgegevens zijn gelekt). 

De ondernemingsraad heeft instemmingsrecht bij het invoeren, wijzigen of intrekken van een regeling voor het verwerken van persoonsgegevens van werknemers (bijvoorbeeld wanneer de werkgever zijn medewerkers wil gaan controleren op aanwezigheid, gedrag of prestaties). De instemming van de OR is ook nodig voor het verwerkingsregister, het aanstellen van een functionaris gegevensbescherming (FG),  het uitvoeren van een privacy impact assessment en voor het privacybeleid. 

Een persoonsgegeven is elk gegeven over een geïdentificeerde of identificeerbare natuurlijke persoon. Dit betekent dat informatie ofwel direct over iemand gaat, ofwel naar deze persoon te herleiden is. Dat het om een natuurlijke persoon moet gaan, houdt in dat gegevens van overleden personen of van organisaties geen persoonsgegevens zijn. 

De werkgever moet zijn medewerkers op zijn privacyrechten wijzen voordat de arbeidsovereenkomst wordt afgesloten. Dat moet in begrijpelijke taal en in een gemakkelijk toegankelijke vorm gebeuren. 

Bij een sollicitatieprocedure moet je als werkgever de kandidaat van tevoren om toestemming vragen als je nadere inlichtingen wil opvragen over de gegevens en referenties op het cv van de sollicitant. Je moet altijd bekijken of de gegevens daadwerkelijk relevant zijn voor de functie. Dat geldt ook voor informatie over de sollicitant die online en openbaar is.

tip

Bekijk hier de video waarin de Nederlandse toezichthouder Autoriteit Persoonsgegevens (AP) de essentie van de wetgeving uitlegt.

Je moet als werkgever kunnen aantonen dat je de juiste maatregelen hebt genomen in het kader van je wettelijke verplichtingen om de privacyrechten van je medewerkers te waarborgen. Deze verantwoordingsplicht betekent dat je moet documenteren:

• welke persoonsgegevens in de organisatie worden verwerkt
• met welk doel deze persoonsgegevens worden verwerkt
• waar de persoonsgegevens vandaan komen
• met wie de organisatie deze persoonsgegevens deelt.

Het opstellen van een register van verwerkingsactiviteiten is onder de AVG vaak een verplichte maatregel. In het register staat informatie over de persoonsgegevens die je verwerkt. Of je zo'n register moet opstellen, hangt af van de omvang van je organisatie en het type gegevens dat je verwerkt.

Dit zijn alle handelingen die een organisatie kan uitvoeren met persoonsgegevens: verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, doorzenden, verspreiden, beschikbaar stellen, samenbrengen, met elkaar in verband brengen, afschermen, uitwissen en vernietigen. Niet iedere organisatie mag zomaar persoonsgegevens verwerken. Daarvoor moet een zogeheten wettelijke grondslag bestaan.