AVG, wat moet ik er mee?

15/08/2018

AVG, wat moet ik er meeDe Algemene verordening gegevensverwerking (AVG) is per 25 mei van dit jaar in werking getreden. Er is al heel wat over de nieuwe Europese privacywetgeving geschreven, maar in kleine ondernemingen zoals die veel in de jachtbouw actief zijn, is niet altijd alles op orde. Daarom een compact overzicht met belangrijke punten om op te letten.

De wet ziet toe op de bescherming van persoonsgegevens in samenhang met (de wijze van) verwerking van die persoonsgegevens. Wat zijn persoonsgegevens? Dat is alle informatie die te herleiden is tot een natuurlijk persoon: naam, adres, telefoonnummer, identificatienummer, locatiegegevens, ip-adres, e-mailadres, maar ook ras, godsdienst, of gezondheid. Zijn er spelregels bij de verwerking van persoonsgegevens? Simpelweg komt het erop neer dat er sprake moet zijn van een noodzakelijkheid van het verwerken van die persoonsgegevens voor de uitvoering van een overeenkomst of wettelijke verplichting, of bijvoorbeeld bij toestemming in het geval van een nieuwsbrief. Wanneer je gegevens verwerkt (klanten, personeel, bezoekers website) en als die gegevens zijn te herleiden tot een natuurlijk persoon en je gegevensverwerking geheel of gedeeltelijk is geautomatiseerd, is de AVG van toepassing.

Belangrijkste verplichtingen.
Iedere organisatie die persoonsgegevens verwerkt, moet inzichtelijk maken van wie gegevens worden verwerkt, op welke wijze en met welk doel, met wie de gegevens worden gedeeld en hoe lang ze worden bewaard. Verder moeten de persoonsgegevens goed beveiligd zijn. Aan die verplichtingen voldoe je door: Opstellen van een privacyverklaring; Aangaan van overeenkomsten met verwerkers; IT-systemen en organisatie checken op beveiliging van gegevens.

Privacyverklaring.
In een privacyverklaring maak je duidelijk waarom, met welk doel en welke gegevens er door je onderneming worden verwerkt, hoe iemand inzage kan krijgen in die gegevens en kan klagen wanneer iets niet klopt.

Verwerkersovereenkomst.
Deze is nodig als er bedrijven zijn die in jouw opdracht persoonsgegevens verwerken van jouw werknemers of van jouw klanten. Het gaat om uitbestede werkzaamheden die je anders zelf zou doen. De verwerker gebruikt deze persoonsgegevens niet voor eigen doeleinden. Voorbeelden: salarisadministratie, het afnemen van IT-diensten vanuit de Cloud, het uitbesteden van facturen.

En verder.
Met een externe privacyverklaring op je website en een verwerkersovereenkomst ben je al een heel eind. Je kunt ook nog een stap verder gaan en een register voor de verwerkingen bijhouden. Dan heb je meteen een beeld, als iemand zijn gegevens opvraagt of wil wijzigen, met wie de gegevens gedeeld worden en welke organisaties bijvoorbeeld nog meer geïnformeerd moeten worden over de wijzigingen. Hoe doe je dat? Breng de gegevens- verwerkingen in kaart, bijvoorbeeld in een Excel bestand: welke persoons- gegevens verwerk je, met welk doel, op grond waarvan (overeenkomst/wetgeving/toestemming), met wie deel je deze gegevens en hoe lang bewaar je de gegevens? Een praktische toepassing van zo’n register is bijvoorbeeld ziekteverzuim- en gezondheidsgegevens, waarbij het telefoonnummer en (verpleeg)adres worden geregistreerd, zolang de ziekte daaruit niet herleid- baar is, de vermoedelijke duur van het verzuim, lopende afspraken en werkzaamheden. Of de werknemer onder een van de vangnetbepalingen van de Ziektewet valt, is na twee maanden dienstverband toegestaan. Er mag niet worden gevraagd onder welke vangnetbepaling de werknemer valt. Wel mag worden geregistreerd of de ziekte verband houdt met een arbeidsongeval en of sprake is van een verkeersongeval met verhaalsmogelijkheid. Let op: overige gezondheidsgegevens mogen niet verzameld of verder verwerkt worden, omdat die niet noodzakelijk zijn voor de verplichting tot doorbetaling van het loon of re-integratie. Zij vallen onder het medisch beroepsgeheim. De bedrijfsarts mag deze gegevens van een uitzendkracht dus ook niet verstrekken.

Niet verwerken.
Welke gegevens mogen bijvoorbeeld niet worden verwerkt?
De aard en oorzaak van verzuim, waaronder de naam van ziekten en specifieke klachten. Het is voldoende om kennis te hebben van functionele beperkingen: wat de werknemer/uitzendkracht wel en niet kan. Eigen subjectieve waarnemingen over de geestelijke of lichamelijke gezondheids- toestand en of een ziekte werkgerelateerd is of bijvoorbeeld te maken heeft met relatieproblemen mogen niet worden vastgelegd. Ook niet gegevens over therapieën, afspraken met artsen, fysiotherapeuten, psychologen. Let op: ook wanneer een werknemer/uitzendkracht vrijwillig informatie geeft over de aard en oorzaak van het ziekteverzuim, mogen deze gegevens niet worden vastgelegd. Dit mag alleen als het noodzakelijk is ter bescherming van een belang dat voor het leven van de betrokkene essentieel is. Op het niet naleven van de AVG zijn hoge boetes gezet, die kunnen oplopen tot 20 miljoen euro of 4% van de wereldwijde jaaromzet! De Autoriteit Persoonsgegevens, die de naleving controleert, zal niet meteen een boete uitdelen als de intentie om aan de AVG te voldoen er wel is, maar eerst waarschuwen.

Meer weten?
Wil je meer weten over de AVG? Op de website autoriteitpersoonsgegevens.nl wordt alles tot in detail beschreven en kan ook een 10-stappenplan worden gedownload.

PDF
Terug naar Nieuws