24 augustus 2017

Op 25 mei 2018 gaat de Europese Algemene Verordening Gegevensbescherming (AVG), ook wel General Data Protection Regulation (GDPR)geheten, in en bedrijven moeten vanaf dat moment voldoen aan de nieuwe regels. Deze wet heeft belangrijke gevolgen voor het opslaan van fysieke en digitale HR-gegevens. Zo moeten bedrijven in bepaalde gevallen een Data Protection Officer (DPO) aanstellen. De DPO is verplicht:

  • bij alle overheidsinstanties (ongeacht omvang of type gegevens)
  • bij andere organisaties:
    * als ze in het kader van hun kernactiviteiten op grootschalige wijze bijzondere gegevens verwerken (bijvoorbeeld een arbodienst)
    * als ze in het kader van hun kernactiviteiten op grootschalige wijze stelselmatig personen observeren (dus bijvoorbeeld een bewakingsbedrijf)

Bedrijven mogen overigens altijd op vrijwillige basis een DPO aanstellen, die dan wel alle bevoegdheden en bescherming krijgt.

Privacy Impact Assessment (PIA)

Een PIA is alleen verplicht als er waarschijnlijk een hoog risico voor de fundamentele belangen van personen te verwachten valt. De toezichthouders hebben onlangs richtsnoeren uitgevaardigd waarin ze uitleggen wat zij onder zo’n hoog risico verstaan. Het gaat onder meer over: gegevens van kwetsbare groepen (waaronder werknemers!), bijzondere gegevens (etniciteit, geloof, gezondheid, vakbondslidmaatschap et cetera), profiling met significante- of rechtsgevolgen, systematische monitoring, doorgifte van persoonsgegevens naar een land zonder passend beschermingsniveau et cetera.

Volgens de toezichthouders moet de PIA worden uitgevoerd als je aan minimaal twee van deze criteria voldoet (geen wet, maar uitgangspunt van toezicht). Dat zou betekenen dat op bijvoorbeeld het structureel gebruik van een personeelsvolgsysteem (zie voor definitie art. 27 lid 1 sub L WOR) wel een PIA moet worden gedaan, maar op de salarisadministratie en de personeelsdossiers niet (tenzij de data daarvan bijv. in India worden gehost). Ook hier geldt dat bedrijven wel op vrijwillige basis een PIA mogen doen. Dat is overigens ook verstandig, omdat de PIA hét middel is om de privacy- en compliancerisico’s in beeld te krijgen.

[maatwerk text=”Lees wat de gevolgen zijn van de verwerking van persoonsgegevens” url=”https://www.hrpraktijk.nl/topics/arbeidsvoorwaarden/nieuws/werkgevers-onderschatten-nieuwe-privacywetgeving/” background=”#009ac0″ color=”#ffffff”]

 

Werkgevers onderschatten privacywetgeving

 

Dit artikel is tot stand gekomen in samenwerking met HR Praktijk