Nieuws
Publicatiedatum: 4 december 2017 | Geschreven door: Wander de Groot
Privacy

AVG vervangt Wbp

Op 25 mei 2018 wordt de Wet bescherming persoonsgegevens (Wbp) vervangen door de Algemene Verordening Gegevensbescherming (AVG). Nieuwe privacywetgeving dus. Dat betekent dat er behoorlijk wat verandert op het gebied van privacy en gegevensbescherming van uw achterban. De AVG stelt namelijk veel strengere eisen en voorwaarden dan de Wbp. Bekijk in deze checklist wat er verandert met de introductie van de AVG en wat uw rol als ondernemingsraad hierin is.

Meer rechten voor werknemer

Werknemers krijgen met de introductie van de AVG meer rechten wat betreft hun privacy. Zo kan een werknemer bijvoorbeeld zijn toestemming om gegevens te verwerken intrekken. De plicht is aan de bestuurder om te bewijzen dat werknemers toestemming hebben gegeven om de gegevens te verwerken.

Inzage, correctie en verwijdering

Werknemers krijgen het recht om gegevens die van hen verwerkt worden in te zien, te corrigeren en te verwijderen. Zij kunnen gegevens opvragen die van hen verwerkt zijn, bijvoorbeeld bij een re-integratietraject. Vervolgens kunnen ze een verzoek doen gegevens, indien niet meer relevant, te verwijderen

Hogere boetes

Het overtreden van de Algemene verordening gegevensbescherming (AVG) kan uw bestuurder duur komen te staan. De Autoriteit Persoonsgegevens (AP) kan bij overtreding een boete opleggen van maximaal 20 miljoen euro of 4% van de wereldwijde jaaromzet.

Is uw organisatie nog niet bezig met de verscherpte privacywetgeving? Zet het dan op de overlegagenda en wijs de bestuurder op de financiële consequenties van het niet naleven van de AVG vanaf mei 2018.

Het begrip persoonsgegevens

Het begrip ‘persoonsgegevens’ wordt breder. Alle gegevens waaruit je de persoon kunt herleiden, vallen onder de term persoonsgegeven. Denk hierbij ook aan een IP-adres.

Verwerkingsregister

Waar uw bestuurder bij de Wbp een meldplicht had als het gaat om het verwerken van persoonsgegevens, bij de introductie van de AVG ontstaat er een documentatieplicht. Dat betekent dat er een verwerkingsregister bijhouden moet worden. Uw bestuurder dient met documenten aan te kunnen tonen dat de juiste organisatorische en technische maatregelen zijn genomen om aan de AVG te voldoen.

Data protection impact assessment (DPIA)

Het is niet verplicht om een Data protection impact assessment (DPIA) uit te voeren. Een DPIA is een instrument om vooraf de privacyrisico’s en maatregelen van gegevensverwerking in kaart te brengen. Dit is vanaf mei 2018 alleen verplicht voor organisaties met een hoog privacyrisico, denk hierbij aan organisaties die veel bijzondere persoonsgegevens verwerken.

Ook al is het niet verplicht, het is wel aan te raden een DPIA uit te voeren. Zo weet u zeker dat uw organisatie AVG-bestendig is.

Functionaris gegevensbescherming

Het aanstellen van een functionaris gegevensbescherming is in sommige gevallen verplicht:

  • Als er op grote schaal bijzondere persoonsgegevens verwerkt worden;
  • Als de hoofdfunctie van de organisatie om observatie draait. Denk hierbij aan cameratoezicht of monitoring van gezondheid;
  • Als het een overheidsinstantie of publieke organisatie betreft.

Instemmingsrecht

Als OR heeft u volgens WOR artikel 27 instemmingsrecht als het gaat om regelingen omtrent het verwerken en beschermen van persoonsgegevens. Voldoet uw bestuurder op dit moment niet in hoge mate aan de Wet bescherming persoonsgegevens (Wbp)? Dan is de kans groot dat processen, systemen en procedures aangepast moeten worden om aan de AVG te voldoen. U kunt dan een instemmingsaanvraag verwachten.

Is een DPIA in uw organisatie niet verplicht? Dan kunt u alsnog een Privacy Impact Assessment (PIA) uitvoeren, om inzicht te verkrijgen in de risico’s van gegevensverwerking voor de achterban in uw organisatie.

Adviesrecht

De nieuwe AVG vereist dat systemen standaard op de meest privacy-vriendelijke manier worden ingericht en er zo min mogelijk persoonsgegevens worden verwerkt. Grote kans dat in uw organisatie technologische veranderingen op komst zijn waarvoor uw advies benodigd is. Artikel 25 WOR bepaalt dat u adviesrecht heeft als het gaat om een besluit tot invoering of wijziging van een belangrijke technologische voorziening. Denk hierbij aan personeelsregistratiesystemen of roosterprogramma’s.