27 september 2017 - 3 minuten leestijd
In juni 2017 heeft Artikel 29-werkgroep (WP29) een opinie geschreven over de verwerking van persoonsgegevens van werknemers door werkgevers. WP29 is het onafhankelijke advies- en overlegorgaan van Europese privacy toezichthouders en heeft als taak het bevorderen van een uniforme toepassing van privacywetgeving in Europa. Dit doet zij onder andere door het schrijven van opinies, waarin onderdelen van de privacywetgeving worden toegelicht.
De werkgroep schreef in 2001 en 2002 al opinies over de verwerking van persoonsgegevens van werknemers. Als gevolg van de technologische ontwikkelingen sinds die tijd zijn volgens WP29 nieuwe uitdagingen ontstaan op het gebied van privacy en gegevensbescherming. Reden dus voor een aanvulling op de voorgaande opinies. In de opinie van juni 2017 wordt, naast de huidige wetgeving (Richtlijn gegevensbescherming), ook aandacht besteed aan de nieuwe eisen die voortvloeien uit de Algemene Verordening Gegevensbescherming (AVG) die in mei 2018 in werking treedt en de richtlijn vervangt.
Belangrijke aandachtspunten op grond van de Richtlijn gegevensbescherming
WP29 herhaalt met betrekking tot de richtlijn de gegevensverwerkingsprincipes waar een werkgever rekening mee moet houden indien hij persoonsgegevens van werknemers verwerkt. Deze principes zijn onder andere dataminimalisatie, noodzakelijkheid, proportionaliteit en het nemen van beveiligingsmaatregelen. WP29 besteedt speciale aandacht aan het vereiste van het hebben van een verwerkingsgrondslag, de in acht te nemen transparantie naar de werknemer over de verwerkingen en het verbod van geautomatiseerde beslissingen (behoudens uitzonderlijke omstandigheden).
Nieuwe eisen op grond van de AVG
WP29 licht in haar opinie drie nieuwe eisen toe waar een werkgever (mogelijk) aan moet voldoen op grond van de AVG. WP29 gaat in op data protection by design and default, het uitvoeren van een gegevensbeschermingseffectbeoordeling en aanvullende eisen op grond van nationale wetgeving.
Data protection by design and default
Privacy by design houdt in dat een werkgever bij het bepalen van de verwerkingsmiddelen en tijdens de verwerking zelf aandacht moet besteden aan privacyverhogende maatregelen die ervoor zorgen dat de gegevensbeschermingsbeginselen zo doeltreffend mogelijk worden uitgevoerd en de (privacy)rechten van werknemers zo goed mogelijk worden beschermd.
Privacy by default houdt in dat een werkgever maatregelen neemt zodat in beginsel alleen persoonsgegevens worden verwerkt die noodzakelijk zijn voor elk specifiek doel van de verwerking. Het gaat dan om de instellingen van bijvoorbeeld een programma of een app. Deze maatregelen moeten ervoor zorgen dat persoonsgegevens in beginsel niet zonder menselijke tussenkomst voor veel personen toegankelijk worden gemaakt.
De maatregelen die worden ingezet ten behoeve van privacy by design and default moeten ervoor zorgen dat een zo minimaal mogelijk aantal aan persoonsgegevens wordt verzameld, verwerkt, opgeslagen en toegankelijk is. Zie voor meer informatie over privacy by design and default deze blog.
Gegevensbeschermingseffectbeoordeling
Onder omstandigheden is een werkgever verplicht een gegevensbeschermingseffectbeoordeling uit te voeren. Dit houdt in dat voordat de verwerkingen van persoonsgegevens plaatsvinden de werkgever moet nagaan wat het effect is van de beoogde verwerkingsactiviteiten en wat de mogelijke gevolgen zijn voor de bescherming van persoonsgegevens. Dit is vereist wanneer een verwerking een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen. Dat wil zeggen dat voor de werknemers een groot risico bestaat op lichamelijke, materiële of immateriële schade (bijvoorbeeld schade als gevolg van het verlies van persoonsgegevens, discriminatie of identiteitsdiefstal).
Gegevensverwerking in verband met werkgelegenheid: aanvullende eisen op grond van nationale wetgeving
Op grond van artikel 88 AVG mag een lidstaat nadere regels vaststellen voor de bescherming van rechten en vrijheden met betrekking tot de verwerking van persoonsgegevens in het kader van een arbeidsverhouding. Aanvullende bepalingen op de AVG die worden vastgesteld door de Nederlandse wetgever worden vastgelegd in de Uitvoeringswet. Deze wet is nog niet definitief vastgelegd, maar in de consultatieversie staat dat er geen behoefte is om gebruik te maken van de ruimte die artikel 88 AVG biedt. De wet kan nog worden aangepast, maar voor nu lijkt het er op dat de AVG op dit punt geen aanvullende bepalingen krijgt in Nederland.
Zowel nu als in de toekomst dient u als werkgever ervoor te zorgen dat u persoonsgegevens van werknemers verwerkt in overeenstemming met de eisen die voortvloeien uit de privacywetgeving. De Clercq denkt hierover graag met u mee en kan u adviseren over hoe uw bedrijf kan voldoen aan de (huidige en toekomstige) privacywetgeving.
Wilt u meer informatie over dit onderwerp? Neem dan contact op met Jennifer Quik of een van de andere specialisten van het team IT, IE & Privacy.
Ook interessant?
