Nu voorbereiden op de nieuwe privacywet

Vanaf 25 mei 2018 moeten organisaties voldoen aan de nieuwe Europese wet Algemene verordening gegevensbescherming (AVG). De Autoriteit Persoonsgegevens (AP) heeft een 10-stappenplan ontwikkeld om de overstap naar deze nieuwe wetgeving te kunnen maken. Ondernemingsraden hebben instemmingsrecht op het wijzigen van een regeling op het gebied van registratie, omgang en bescherming van persoonsgegevens van medewerkers.
 
De AVG gaat de huidige Wet bescherming persoonsgegevens vervangen (Wbp). Deze nieuwe wet – van toepassing in de gehele Europese Unie – versterkt en breidt privacyrechten van mensen uit én zorgt voor meer verplichtingen voor organisaties die persoonsgegevens verwerken. Het overschrijden van de AVG kan in de papieren lopen, want boetes kunnen oplopen tot 20 miljoen euro of 4% van de wereldwijde jaaromzet. 
 
In 10 stappen klaar voor de nieuwe wet
In de vorm van een 10-stappenplan heeft de AP de route beschreven die organisaties kunnen doorlopen om volgend jaar voorbereid te zijn om de AVG. 
1. Bewustwording
2. Rechten van betrokkenen
3. Overzicht verwerkingen
4. Privacy impact assessment (PIA)
5. Privacy by design & privacy by default
6. Functionaris voor de gegevensbescherming
7. Meldplicht datalekken
8. Bewerkersovereenkomsten
9. Leidende toezichthouder
10. Toestemming
 
Al deze stappen worden op de website toegelicht. Die toelichting is nodig en handig, omdat de AVG op een aantal onderdelen andere bepalingen kent dan de Wbp. Zo krijgen werknemers recht op dataportabiliteit. Dat is het recht om je eigen persoonsgegevens te ontvangen die een organisatie van je heeft, deze zelf op te slaan of door te geven aan een andere organisatie. Ook wordt de PIA geïntroduceerd. Dat is een ‘privacy impact assessment’ waardoor ingeschat kan worden hoe groot de privacy-risico’s zijn en daar tijdig beschermingsmaatregelen voor te nemen; eigenlijk een RI&E, maar dan op het gebied van de privacyveiligheid. Een PIA is verplicht als gegevensverwerking waarschijnlijk een hoog privacy-risico oplevert voor de mensen van wie de organisatie gegevens verwerkt. Dat is in ieder geval zo als een organisatie:
  • systematisch en uitvoerig persoonlijke aspecten evalueert, waaronder profilering;
  • op grote schaal bijzondere persoonsgegevens verwerkt;
  • op grote schaal en systematisch mensen volgt in een publiek toegankelijk gebied (bijvoorbeeld met cameratoezicht).
Ook is het in sommige gevallen verplicht om een functionaris voor de gegevensverwerking (FG) aan te stellen. Tijdig beginnen met werven is het advies om voorbereid te zijn. 
 
Instemmingsrecht van de OR
Natuurlijk kunnen wijzigingen op het gebied van de privacy alleen met instemming van de OR worden doorgevoerd. Dat de werkgever wordt verplicht om de wettelijke veranderingen door te voeren ontslaat de ondernemer niet van de plicht om aan zijn OR instemming te vragen over de gewijzigde privacyregeling.
 
Als OR aan de slag met het pesten in bedrijf of organisatie? Klik hier