Het houdt de gemoederen van veel organisaties en werkgevers inmiddels volop bezig; de nieuwe privacyregels die met ingang van 25 mei 2018 gelden. Op dat moment treedt de Algemene Verordening Gegevensbescherming (AVG) van de Europese Unie in werking. Deze verordening geldt voor de hele EU en heeft rechtstreekste werking, ook in Nederland. De verordening bevat strengere regels op het gebied van privacy. De boetes op overtreding zijn hoog, namelijk maximaal 20 miljoen euro of 4% van de wereldwijde omzet. Reden genoeg dus om u hierin als organisatie te verdiepen. Hieronder enkele onderwerpen (heel) kort uitgewerkt.

Persoonsgegevens

Iedere organisatie die persoonsgegevens verwerkt valt onder de werking van de AVG. Het kan gaan om persoonsgegevens van klanten (bijvoorbeeld naam, telefoonnummer of e-mailadres van een contactpersoon) of werknemers (NAW-gegevens, kopie paspoort). Onder de AVG wordt onderscheid gemaakt tussen “gewone” persoonsgegevens en bijzondere persoonsgegevens. “Gewone persoonsgegevens” mogen alleen worden verwerkt indien daarvoor een wettelijke grondslag is. Bijzondere persoonsgegevens in beginsel niet.

Rechten

Onder de AVG hebben de betrokkenen, onder wie ook werknemers, meer rechten, namelijk het recht op dataportabiliteit, dat wil zeggen het recht om de persoonsgegevens over te laten dragen naar een andere organisatie, het recht op vergetelheid, dat wil zeggen het recht om “vergeten” te worden, het recht op rectificatie en aanvulling van de persoonsgegevens, het recht op beperking van de verwerking, dat wil zeggen het recht om minder gegevens te laten verwerken en het recht om bezwaar te maken tegen de gegevensverwerking. U dient als organisatie de betrokkenen duidelijk te informeren over de persoonsgegevens die worden verwerkt, met welk doel en wat hun rechten zijn.

Verantwoordingsplicht

De AVG legt meer nadruk op de verantwoordelijkheid van u als organisatie om aan te tonen dat u zich aan de wet houdt. Dit heet de verantwoordingsplicht. Deze verplichting houdt in dat u met documenten moeten kunnen aantonen dat u de juiste organisatorische en technische maatregelen heeft genomen om aan de AVG te voldoen.

Documenten

Welke documenten zijn allemaal nodig? Ten eerste een privacyreglement voor sollicitanten, werknemers en/of klanten. Grote kans namelijk dat u van deze categorieën personen persoonsgegevens verwerkt. Daarnaast dient u verwerkingsovereenkomsten te sluiten met partijen die bij de persoonsgegevens kunnen, bijvoorbeeld een IT-partner of een administratiekantoor. In een register van verwerkingsactiviteiten dient u onder andere bij te houden welke persoonsgegevens u verwerkt, met welk doel, hoe lang u deze gegevens bewaart en welke maatregelen u heeft genomen om de persoonsgegevens te beschermen.

De ruimte voor deze column is lang niet genoeg om een goed en volledig beeld te geven van de nieuwe privacyregels. Laat u dan ook goed adviseren over de rechten en plichten die gelden voor uw organisatie.