Algemene Verordening Gegevensbescherming (AVG)

Instemmingsrecht

Als ondernemingsraad (OR) heeft u volgens WOR artikel 27 instemmingsrecht als het gaat om regelingen omtrent het verwerken en beschermen van persoonsgegevens van de in de onderneming werkzame personen.  Is uw bestuurder van plan om processen, systemen of procedures aan te passen? Ga dan na of er persoonsgegevens verwerkt worden. Is dat het geval? Dan kunt u een instemmingsaanvraag verwachten.

Achterban

De privacywetgeving AVG zorgt er niet alleen voor dat uw bestuurder een hoop moet regelen op het gebied van gegevensbescherming en gegevensverwerking. Ook andere medewerkers moeten goed op de hoogte zijn van de privacywetgeving. Denk bijvoorbeeld aan de preventiemedewerker. Ga na bij uw achterban in hoeverre uw collega’s op de hoogte zijn van de regels die in de AVG staan. Is dit onvoldoende? Zet dit op de overlegagenda. Gebruik uw initiatiefrecht om een informatiebijeenkomst over het omgaan met privacy en persoonsgegevens voor te stellen.

Inventariseren

Breng goed in kaart welke gegevens van medewerkers uw organisatie allemaal verwerkt en met welk doel. Uw bestuurder heeft een verantwoordingsplicht. Dat betekent dat hij moet kunnen aantonen dat de organisatie zich houdt aan de regels onder de AVG. Hiervoor wordt een verwerkingsregister gebruikt. Een verwerkingsregister is niet voor alle organisaties verplicht, maar wel voor het merendeel.

Uw bestuurder moet het verwerkingsregister kunnen overhandigen aan de Autoriteit persoonsgegevens (AP) als zij hier om vraagt.

Oude en nieuwe rechten

Mensen hebben niet alleen het recht gegevens in te zien, te corrigeren en te verwijderen. Ook staat in de AVG het recht op dataportabiliteit. Dat betekent dat medewerkers hun gegevens kunnen opvragen en eenvoudig doorgeven aan een andere organisatie als ze dat willen. De verwerking van gegevens dient op zo’n manier te zijn ingericht, dat hier eenvoudig aan kan worden voldaan.

Privacy by design

Twee belangrijke uitgangspunten van de AVG zijn Privacy by design en Privacy by default. Privacy by design betekent dat bij alle processen, producten en diensten van uw organisatie alle persoonsgegevens goed zijn beschermd. Een eenvoudige stelregel: verzamel niet meer gegevens dan noodzakelijk voor het doel hiervan en bewaar gegevens niet langer dan noodzakelijk.

Privacy by default

Privacy by default betreft technische en organisatorische maatregelen om ervoor te zorgen dat slechts die persoonsgegevens worden verwerkt die noodzakelijk zijn voor het specifieke doel dat uw organisatie wilt bereiken. Is er bijvoorbeeld een online systeem waarin mensen hun verzuim kunnen doorgeven? Controleer dan of hierin geen onnodige gegevens worden opgevraagd.

DPIA

Een data protection impact assessment (DPIA) is een instrument dat de privacyrisico’s van gegevensverwerking in kaart brengt. Een DPIA is alleen verplicht als het verwerken van de gegevens een hoog privacyrisico oplevert voor de betrokkenen. Dit is het geval als uw organisatie op grote schaal bijzondere persoonsgegevens verwerkt, systematisch mensen volgt of bijvoorbeeld aan profiling doet.

Meldplicht datalekken

Uw bestuurder moet alle datalekken binnen uw organisatie registeren. Aan de hand hiervan kan de Autoriteit Persoonsgegevens (AP) controleren of aan de meldplicht is voldaan. Met een goede DPIA kunnen problemen al in een vroeg stadium vast worden gesteld, zodat problemen inzake gegevensbescherming sneller kunnen worden opgelost.

Verwerkersovereenkomst

Als uw organisatie met andere partijen samenwerkt en zij verwerken persoonsgegevens van medewerkers, denk aan de arbodienst, dan dient uw organisatie een verwerkersovereenkomst te hebben. In de verwerkersovereenkomst moet in ieder geval het onderwerp en de duur van de gegevensverwerking staan, de aard en het doel ervan, het soort persoonsgegevens, de categorieën van betrokkenen en de rechten en verplichtingen van de verwerkingsverantwoordelijke.

Meer weten over hoe een verwerkersovereenkomst eruitziet? Bekijk dit model.