Nieuwsbrief 2 juli 2018

Gegevensbescherming in de praktijk.

Vanaf 25 mei 2018 moeten bedrijven voldoen aan de Algemene Verordening Gegevensbescherming (AVG). Veel bedrijven zijn hier nog niet op voorbereid. Bij een niet naleving kunnen ze wel gelijk forse boetes krijgen, oplopend tot miljoenen euro’s. De AVG borduurt op hoofdlijnen voort op de Wet Bescherming Persoonsgegevens (WBP). Sommige dingen blijven gelijk, zoals de regels voor de bewaartermijnen. Hierbij blijft het uitgangspunt dat persoonsgegevens niet langer mogen bewaard dan noodzakelijk is voor het doel van de verwerking. Op andere terreinen worden de eisen strenger. Zo moeten voortaan alle datalekken intern worden vastgelegd, ook als melding bij de Autoriteit Persoonsgegevens (AP) niet verplicht is. Ook worden onder de AVG mogelijke boetes een stuk hoger: tot 20 miljoen euro of 4% van de wereldwijde omzet (afhankelijk van welke het hoogste is). Daarnaast introduceert de AVG ook enkele geheel nieuwe eisen.

In de AVG is geen meldplicht meer opgenomen. Bedrijven moeten in plaats daarvan voortaan waarborgen en aantonen dat ze zich aan de wet houden (accountabilty). Via een (schriftelijk of digitaal) verwerkingsregister moet onder meer bijgehouden worden wat voor gegevens worden bewaard, en van wie, waarvoor de gegevens gebruikt worden, wat de bewaartermijnen zijn, welke systemen de gegevens gebruiken en wie ze kan bewerken, welke technische en organisatorische maatregelen zijn genomen om data te beveiligen. De WBP kende al een bewerkersovereenkomst, die de verantwoordelijkheden vastlegt van degenen die (in opdracht van ene ander bedrijf) persoonsgegevens verwerkt. Onder de AVG wordt dit een “verwerkersovereenkomst”. Dit is meer dan een naamsverandering. In de verwerkersovereenkomst moet onder andere staan dat de gegevens alleen op instructie van de verantwoordelijke verwerkt worden, dat de personen binnen de verwerkende organisatie vertrouwelijk met de gegevens omgaan, dat de verwerker passende maatregelen voor beveiliging neemt, onder welke voorwaarden de verwerker de gegevens mag doorgeven, dat de verwerker er, voor zover mogelijk, voor zorgt dat de verantwoordelijke zich aan de rechten van betrokkenen kan houden, dat verwerker na afloop van de diensten de gegevens wist of teruggeeft aan de verantwoordelijke, dat verwerker alle informatie aan de verantwoordelijke zal geven die nodig is om te testen of aan de wettelijke vereisten is voldaan. Daarnaast geldt onder omstandigheden de verplichting om een zogenaamde Data Protection Impact Assessement (DPIA) op te stellen. Dit al gauw aan de orde bij gebruik van smart technologie, big data en bij systematische, uitgebreide en geautomatiseerde beoordeling van persoonlijke aspecten (profilering) en stelselmatige en grootschalige monitoring van openbare ruimten.

Eén van de grondslagen van privacy bescherming is dat er gegevens alleen met toestemming van de betrokkenen mogen worden opgeslagen. De AVG stelt hier nog strenge eisen aan: voortaan moet ook worden geëvalueerd hoe deze toestemming is verkregen. Bedrijven moeten kunnen aantonen dat de verkregen toestemming geldig is. Er moet een juridisch toegestane grondslag aanwezig zijn voor het verwerken van gegevens. Dit kan ook een andere grondslag zijn dan toestemming. Daarnaast stelt de AVG een transparante privacyverklaring verplicht. In eenvoudige taal moet precies en volledig worden uitgelegd wat met de persoonsgegevens gedaan wordt, welke rechten betrokkenen hebben (inclusief het recht om een klacht in te dienen bij de autoriteit persoonsgegevens).

De AVG heeft consequenties voor ziekte- en verzuimregistratie. De autoriteit persoonsgegevens heeft hier in 2016 afzonderlijke beleidsregels voor vastgesteld. Op dit moment is er veel discussie over met name het standpunt van de AVG wat niet over een zieke werknemer mag worden vastgelegd, zoals diagnoses, naam van de ziekte, specifieke klachten of pijnaanduidingen, eigen, subjectieve waarnemingen, zowel over iemand geestelijke als lichamelijke gezondheidstoestand, gegevens over therapieën, afspraken met artsen en andere zorgverleners, overige situationele problemen (in de relatiesfeer, problemen uit het verleden, echtscheiding, overlijden, etc.), de mate van arbeidsongeschiktheid, functionele beperkingen en eventuele restmogelijkheden – dit mag uitsluitend door een bedrijfsarts/arbodienst worden vastgelegd. Wel mag worden vastgelegd het telefoonnummer en (verpleeg)adres, de vermoedelijke duur van het verzuim, lopende afspraken en werkzaamheden, of de werknemer onder een van de vangnetbepalingen van de Ziektewet valt (maar niet welke!), of de ziekte verband houdt met een arbeidsongeval, of er sprake is van een verkeersongeval waarbij een eventueel aansprakelijke derde betrokken is.

Onderzoek van de autoriteit persoonsgegevens laat zien dat veel bedrijven, met name kleine bedrijven, niet voorbereid zijn op de inwerkingtreding van de AVG vanaf 25 mei 2018. Knegtmans Advocaten & Mediators staat veel bedrijven in De Kempen bij bij de invoering van de AVG. Mocht u vragen hebben of hulp nodig hebben bij de invoering hiervan, neem dan gerust contact op met Knegtmans Advocaten & Mediators. Veelal zal de bijstand kosteloos kunnen plaatsvinden.