Organisaties met personeel verwerken altijd de persoonsgegevens van hun werknemers en dienen dus te voldoen aan de huidige en toekomstige privacy wetgeving. Wat betekent dit voor u als werkgever?

De Clercq stelt u graag voor aan twee van haar privacy advocaten die u hier alles over kunnen vertellen;

Waarom is de (nieuwe) privacywetgeving voor werkgevers belangrijk?

Natascha van Duuren in AG Connect

Natascha: “Voor veel bedrijven is het nieuwe boetebeleid de drijfveer voor het voldoen aan de AVG. Het niet voldoen aan de privacywet kan een boete opleveren van € 20.000.000,- of 4% van de totale wereldwijde jaaromzet indien dat bedrag hoger is. Onder de Wbp is dit maximaal € 820.000,- of 10% van de jaaromzet indien het bedrag geen passende bestraffing zou zijn. Toch zou dit niet de enige reden moeten zijn om de privacywetgeving na te leven. Het is voor bedrijven namelijk ook een mogelijkheid om zich te positioneren als betrouwbaar bedrijf, dat op de juiste manier met persoonsgegevens omgaat en daadwerkelijk zorg draagt voor de gegevens die betrokkenen aanleveren.”

Anneloes: “Meer specifiek voor werkgevers is het relevant dat de arbeidsverhoudingen tussen werkgever en werknemer goed blijven. Het onjuist monitoren van werknemers kan bijvoorbeeld een vertrouwensbreuk opleveren en zal de werksfeer mogelijk niet ten goede komen. Het is dan ook van belang dat een werkgever de nodige maatregelen neemt om dit te voorkomen.”

Wat staat werkgevers vanaf 25 mei 2018 precies te wachten?

Natascha: “Werkgevers moeten op dit moment voldoen aan de Wbp. Indien deze wet binnen het bedrijf al wordt toegepast, dan is de overstap naar de – op sommige punten strengere en soms uitgebreidere eisen van de – AVG minder groot. Toch blijkt uit onze praktijk dat veel bedrijven niet voldoen aan de Wbp. Zo ontbreekt bijvoorbeeld vaak een bewerkersovereenkomst of een privacyverklaring. Het valt in die gevallen dan ook tegen hoeveel stappen nog moeten worden genomen om op 25 mei 2018 klaar te zijn voor de AVG.”

Anneloes: “Wat vooral veel tijd in beslag neemt is de verantwoordingsplicht die de nieuwe privacywet met zich meebrengt. In principe moet alles worden verantwoord, en dat kan het beste door het vast te leggen, bijvoorbeeld in het onder de AVG verplichte verwerkingsregister. Hierin wordt vastgelegd welke persoonsgegevens worden verwerkt, om welke reden en hoe lang de gegevens worden bewaard. Dit dwingt werkgevers direct na te gaan waarom bepaalde gegevens worden verwerkt en kan leiden tot het bewuster omgaan met de verwerking van persoonsgegevens. Hiervoor dienen alle gegevensverwerkingsprocessen in kaart te worden gebracht, en de hoeveelheid werk dat dat met zich meebrengt, wordt nog wel eens onderschat.”

Natascha: “Naast het verwerkingsregister dient meer informatie te worden opgenomen in de privacyverklaring, worden meer eisen gesteld aan de beveiliging van persoonsgegevens, is het aanstellen van een functionaris voor gegevensbescherming onder omstandigheden verplicht en dient een werkgever rekening te houden met begrippen als privacy by design and privacy by default. Ook wordt een gegevensbeschermingsbeleid (ook wel privacy beleid) onder omstandigheden verplicht gesteld. Gezien de verantwoordingsplicht raden wij onze cliënten aan sowieso een beleid op te stellen.”

Al met al moet er dus nog flink wat gebeuren vóór 25 mei 2018. Hoe kan De Clercq hen daar bij helpen?

Natascha: “Binnen ons kantoor hebben we verschillende advocaten die zich bezig houden met privacy recht. Ik richt mij voornamelijk op IT en Privacy in het algemeen. Ik adviseer nationale en internationale cliënten over de meest uiteenlopende kwesties aangaande privacy. Daarnaast ben ik voorzitter van de Special Interest Group IT-Recht van het Ngi-NGN en geef ik les aan Data Protection Officers aan de HAN. Werkgevers kunnen bij mij terecht voor al hun vragen aangaande het toepassen van de huidige en toekomstige privacywetgeving en het opstellen van privacy contracten en –documenten.”

Anneloes: “Ik richt mij voornamelijk op het arbeidsrechtelijke aspect van privacy; welke gegevens mogen worden verwerkt van een zieke werknemer? Hoe lang mogen arbeidsgegevens van werknemers worden bewaard? Voor welke doeleinden mogen de gegevens van werknemers worden gebruikt? En welke rol speelt de Ondernemingsraad bij dit soort vragen? Ik adviseer hierover bij verschillende soorten bedrijven. ”

De klok tikt gestaag, doch onverbiddelijk door naar 25 mei 2018. Wees als werkgever dus goed voorbereid en zorg dat uw bedrijfsvoering in overeenstemming is met de (huidige en) toekomstige eisen van de privacy wetgeving. De Clercq staat u hier graag in bij.

Vragen?

Heeft u nog vragen, neemt u dan contact op met Natascha van Duuren, Advocaat & partner IT, Privacy & Cybersecurity.