Hoewel de Europese Algemene verordening gegevensbescherming (AVG, de opvolger van de Wet bescherming persoonsgegevens, Wbp) al op 25 mei 2016 in werking is getreden, is er tot voor kort betrekkelijk weinig aandacht voor geweest. Dat is inmiddels wel anders: de AVG geniet de nodige aandacht in de media en ook in het bedrijfsleven. In google zijn inmiddels 294 hits te vinden bij de zoekopdracht Algemene verordening gegevensbescherming.

Het FD kopt op 14 augustus 2017 op de voorpagina: “Bedrijven in paniek over Europese privacywet”. Sancties dreigen door onderschatting van de nieuwe regels voor bescherming van persoonsgegevens, aldus het FD.

Aandacht voor de privacyontwikkelingen is er zeker. Of er werkelijk aanleiding bestaat voor paniek, is echter de vraag. Ook nu worden bedrijven regelmatig met privacykwesties geconfronteerd en is de nodige ervaring opgedaan met privacy onder de Wbp. In onze arbeidsrechtpraktijk worden wij regelmatig gevraagd om advies over persoonsgegevens: welke gegevens mogen door de werkgever worden gevraagd, gebruikt en bewaard? Bepaalde verwerkingen van persoonsgegevens moeten worden gemeld bij de Autoriteit persoonsgegevens, maar de meeste verwerkingen (zoals personeelsadministraties en salarisadministraties) vallen onder het Vrijstellingsbesluit Wbp. Mag de mailbox van een werknemer worden geraadpleegd en is het gebruik van een camera toegestaan? Hoe moet worden omgegaan met social media? Wat zijn de privacyregels rondom ziekteverzuim en re-integratie? Het gaat in de praktijk nogal eens mis waardoor er conflicten ontstaan tussen werkgevers en werknemers over privacy op de werkvloer. De vraag is dan of de werkgever de regels heeft nageleefd en wat de gevolgen zijn van niet-naleving. Om conflicten te voorkomen, adviseren wij bedrijfsregelingen op te stellen die voldoen aan de AVG waardoor ook de werknemers weten waar zij aan toe zijn. Tot slot worden wij regelmatig geconfronteerd met vragen over de sinds 2016 geldende Meldplicht Datalekken over gevoelige gegevens aan de Autoriteit Persoonsgegevens.

Toch moeten de gevolgen van de AVG ook weer niet worden onderschat. Er komt een verantwoordingsplicht (accountability) voor organisaties die persoonsgegevens van werknemers, klanten, patiënten, websitebezoekers en anderen verzamelen en gebruiken. Voor organisaties boven de 250 werknemers geldt straks een documentatieplicht ter vervanging van de huidige meldingsplicht. Voor overheden en bepaalde bedrijven is het verplicht een Data Protection Officer (DPO) aan te wijzen die de organisatie en de werknemers informeert en adviseert over de verwerking van persoonsgegevens en de naleving van de privacywetgeving. In een aantal gevallen is een Privacy Impact Assessment (PIA) geboden en moeten op basis daarvan maatregelen worden genomen.

Met nog een klein jaar (tot 25 mei 2018) voor de boeg is het dus wel zaak voor de organisaties – zowel overheden als private ondernemingen – om de nodige voorbereidingen te treffen.

De Autoriteit Persoonsgegevens (AP) heeft voor de organisaties de 10 belangrijkste stappen op een rij gezet:

1. Bewustwording
2. Rechten van betrokkenen
3. Overzicht verwerkingen
4. Privacy impact assessment (PIA)
5. Privacy by design & privacy by default
6. Functionaris voor de gegevensbescherming
7. Meldplicht datalekken
8. Bewerkersovereenkomsten
9. Leidende toezichthouder
10. Toestemming

Daarnaast kunt u op de website van de AP guidelines vinden die u ondersteunen in het voorbereidingsproces (https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/europese-privacywetgeving/voorbereiding-op-de-avg).

Omdat het gaat om een belangrijk traject met voor uw organisatie mogelijk verstrekkende gevolgen, is het zaak dat u zich op goede wijze laat adviseren. Van den Brekel advocaten kan u ondersteunen bij de te nemen maatregelen ter voorbereiding op de AVG.