icon

Privacy beter beschermd onder Europese privacyverordening

Binnenkort treedt de algemene verordening gegevensbescherming in werking, waarmee de Europese Commissie beoogt persoonsgegevens beter te beschermen. Deze 'privacyverordening' zal in de gehele Europese Unie de bestaande privacywetgeving vervangen en zal voor alle bedrijven die met persoonsgegevens werken ingrijpende gevolgen hebben.

Veel bedrijven zullen zich er niet direct van bewust zijn dat zij persoonsgegevens verwerken, terwijl bijvoorbeeld de personeelsadministratie al een zogenaamd bestand van persoonsgegevens waarop de privacywetgeving – en dus de nieuwe verordening – van toepassing is. Hierna zullen wij daarom enkele van de belangrijkste wijzigingen bespreken vanuit het oogpunt van de werkgever. Ook veranderingen voor werknemers zullen aan bod komen.

Alle bedrijven die met persoonsgegevens werken zullen te maken krijgen met een groot aantal nieuwe verplichtingen. Allereerst wordt het verplicht om het beleid rond de verwerking (het verzamelwoord voor elke handeling die met persoonsgegevens te maken heeft, zoals het verzamelen en bewaren daarvan) van persoonsgegevens transparant en eenvoudig toegankelijk te maken voor de personen waarvan de gegevens worden verwerkt (de “betrokkenen”). Ook zal dit beleid controleerbaar moeten zijn voor de privacy-autoriteit (in Nederland het CBP, dat binnenkort zijn naam wijzigt in Autoriteit persoonsgegevens). Uit de “privacy policy” zal onder meer moeten blijken welke persoonsgegevens worden verwerkt en waarom, alsmede welke maatregelen de onderneming heeft genomen om aan de wetgeving te voldoen.

Een belangrijk onderdeel van het privacybeleid is de beveiliging van de gegevens. De eisen die de wet aan de beveiliging stelt veranderen niet wezenlijk, maar gebrekkige beveiliging kan (anders dan nu) gaan leiden tot hoge boetes. Per overtreding kan de boete oplopen tot maar liefst 2 % van de wereldwijde jaaromzet! Wanneer er onverhoopt een beveiligingslek optreedt waardoor onbevoegden toegang krijgen tot persoonsgegevens, bijvoorbeeld door hacking, moet het bedrijf de privacy-autoriteit daarvan zo spoedig mogelijk in kennis stellen en maatregelen nemen, op straffe van eenzelfde hoge boete.

Indien (een deel van) de personeelsadministratie wordt uitbesteed aan derden (bijvoorbeeld een payrollbedrijf), moeten de werkgever en de derde de afspraken daarover straks schriftelijk vastleggen in een contract.

Bedrijven met meer dan 250 werknemers zullen bovendien elke vorm van verwerking uitgebreid moeten gaan documenteren. Daarnaast zullen zij een functionaris voor de gegevensbescherming (FG) moeten aanstellen. De FG zal zowel voor de werknemers als voor de privacy-autoriteit als eerste aanspreekpunt fungeren op het gebied van privacy.

Tegenover de toename in verplichtingen voor de werkgevers, staat een uitbreiding van de rechten van de betrokkenen. Zo zal een werknemer op het moment dat persoonsgegevens bij hem worden opgevraagd onder meer begrijpelijke informatie moeten krijgen over het hoe en waarom van de verwerking, zijn rechten en het privacybeleid van de onderneming. Ook mogen betrokkenen te allen tijde gratis de gegevens die op hen betrekking hebben inzien en, indien nodig, aan laten passen. De werkgever is straks, op straffe van een boete, verplicht alle gevraagde informatie te verschaffen.

De hoge boetes uit de privacyverordening zullen naar verwachting vanaf 2017 pas worden opgelegd, maar vooruitlopend hierop zal in de loop van 2015 de bestaande privacywetgeving in Nederland worden aangescherpt. Het voeren van privacybeleid en de beveiliging van persoonsgegevens wordt een nog serieuzere zaak, en bedrijven die zich daar onvoldoende van bewust zijn gaan hoge boetes riskeren. Het kan dan ook zeker geen kwaad om nu al in te spelen op de nieuwe wetgeving.

Heeft u vragen?

This field is for validation purposes and should be left unchanged.
Privacy beter beschermd onder Europese privacyverordening