Dit betekent de nieuwe privacywetgeving voor werkgevers

Het lijkt nog mijlenver weg, maar voor u het weet is het zover: de invoering van de Algemene verordening gegevensbescherming (AVG) op 25 mei 2018. We spraken met Daan Hermes, directeur van advies- en e-businessbedrijf Iselect, over de consequenties van deze nieuwe privacywetgeving.

Op dit moment is de Wbp (Wet bescherming persoonsgegevens) van kracht. In het e-book Wegwijs in Arbeidsvoorwaarden vindt u meer informatie hierover. Vanaf 25 mei 2018 geldt voor alle Europese lidstaten de Algemene Verordening Gegevensbescherming, afgekort de AVG. Dit betekent dat vanaf die datum dezelfde privacywetgeving geldt in de hele Europese Unie.

Wat houdt de nieuwe privacywetgeving in?

“De invoering van de AVG* heeft allerlei consequenties voor het opslaan en verwerken van persoonsgegevens van werknemers. De wetgever wil dat we zo min mogelijk persoonsgegevens verwerken. Maar ook dat zo min mogelijk mensen hier toegang toe hebben. En dat de gegevens die wél worden opgeslagen zo kort mogelijk worden bewaard. De digitale wereld heeft zich zo snel ontwikkeld, dat de wet- en regelgeving achter de feiten aanloopt. Nu krijgen we een inhaalslag.”

Wat betekent de invoering van de AVG voor werkgevers?

“Een belangrijk onderdeel van de AVG is de documentatieplicht. Dit houdt in dat werkgevers moeten kunnen aantonen dat zij organisatorisch, technisch én juridisch al het mogelijke hebben gedaan om persoonsgegevens van werknemers veilig op te slaan. Wie mag bij welke gegevens, welke procedures en protocollen worden gehandhaafd, wat is het wachtwoordbeleid en hoe spelen we hackers niet in de kaart? Stuk voor stuk zaken die straks moeten worden vastgelegd.”

“Wat verder gaat veranderen, is dat werknemers meer rechten krijgen. Zo krijgen zij het recht hun personeelsdossier zonder opgaaf van reden in te zien. Ook worden de sancties substantiëler: als je de AVG niet zo nauw neemt, kun je een fikse boete aan je broek krijgen.”

Het duurt nog even tot de AVG van kracht is. Waarom is het belangrijk dat werkgevers zich hier nu al op voorbereiden?

“Het is 25 mei 2018 voor je het weet. Voldoe je dan niet aan de nieuwe wet- en regelgeving, dan ben je onmiddellijk in overtreding. Daarom moet je ervoor zorgen dat je personeelsinformatiesysteem voor die tijd op orde is. Alles wat je nu bijhoudt, moet getoetst worden aan de AVG. Daar komt heel wat bij kijken. Zo moet je bijvoorbeeld met de ondernemingsraad in gesprek. Voor medewerkers moet het mogelijk zijn een kopie van hun personeelsdossier te ontvangen. Dat kost meer tijd dan je denkt, dus het is belangrijk daar op tijd mee aan de slag te gaan.”

Hoe kunnen werkgevers zich optimaal voorbereiden?

Op privacywet.nl vindt u informatie om op organisatorisch, technisch en juridisch vlak ‘privacy-proof’ te worden. Aan de hand van de checklist heeft u snel inzichtelijk of uw organisatie privacy compliant is.

* De AVG gaat over alle persoonsgegevens die een organisatie verwerkt. Bijvoorbeeld ook persoonsgegevens van klanten en relaties. In dit artikel wordt met name ingegaan op de persoonsgegevens van werknemers.