Op 25 mei 2018 treedt de Algemene Verordening Gegevensbescherming (AVG) in werking en vervalt de Wet Bescherming Persoonsgegevens (Wbp). Het doel van de AVG is het harmoniseren van de privacyregelgeving binnen de Europese Unie, betere bescherming van persoonsgegevens en de bevordering van het vrije verkeer van gegevens. Omdat de AVG rechtstreekse werking heeft, zal u als werkgever met ingang van 25 mei 2018 direct moeten voldoen aan de nieuwe regels. Wat verandert er?

De AVG brengt een aantal belangrijke veranderingen met zich mee. Kort samengevat komt het erop neer dat de privacy rechten van personen verbeteren en de organisaties die persoonsgegevens verwerken meer verantwoordelijkheden krijgen.

De personen van wie gegevens worden verwerkt worden ‘betrokkenen’ genoemd. De AVG beschermt de betrokkenen vergaand. Zo moeten inzageverzoeken ten aanzien van personen onverwijld, maar uiterlijk binnen een maand worden kosteloos afgehandeld, bestaat er een recht op rectificatie, het recht van vergetelheid (‘right to be forgotten’) en een recht op dataportabiliteit.

Aan het recht van vergetelheid is ook het recht op beperking van de verwerking gekoppeld. Bepaalde gegevens zouden moeten worden gemarkeerd zodat voor de verwerker duidelijk is voor welke doeleinden de verwerking is uitgesloten, althans voor de verwerking waarvan de betrokkene geen toestemming heeft gegeven. Het is mogelijk dat hier in de toekomst discussies over gaan ontstaan. Bijvoorbeeld als een werkgever en werknemer in een arbeidsconflict geraken en de werknemer vraagt bepaalde gegevens te verwijderen of de verwerking ervan te beperken en de werkgever meent redenen te hebben om niet gehouden te zijn aan dit verzoek te voldoen.

Aan de andere kant brengt de AVG meer plichten met zich mee voor verwerkingsverantwoordelijke organisaties. De AVG formuleert zes uitgangspunten waaraan alle verwerkingen van persoonsgegevens moeten voldoen. Via een Privacy Impact Assessment kunt u (laten) nagaan of bepaalde gegevens verwerkingen in overeenstemming zijn met de uitgangspunten. Daarnaast dient u gedocumenteerd te kunnen aantonen op welke wijze u voldoet aan de AVG. Verplicht is dat u voldoende transparantie biedt, bijvoorbeeld via een privacy statement of een informatiebrief aan de werknemer, en dat u een verwerkingsregister bijhoudt. Ook gelden er beveiligingseisen. Houdt u zich niet aan de AVG, dan kan de Autoriteit Persoonsgegevens (AP) een boete opleggen.

Gelet op de vergaande gevolgen van de AVG is een goede voorbereiding daarop essentieel. Van den Brekel advocaten kan u begeleiden bij de stappen die u als werkgever moet zetten. Heeft u vragen over de AVG voor uw organisatie, neemt u dan contact met ons op.