De nieuwe privacy wetgeving. De gevolgen voor uw personeelsadministratie
Vanaf mei 2018 geldt voor alle organisaties nieuwe privacy wetgeving. Dat komt snel dichterbij. Het is goed hier als onderneming nu al rekening mee te houden. Het niet voldoen aan de strengere wet- en regelgeving kan grote (financiële) consequenties hebben.
Datalekken, het onrechtmatig delen van persoonsgegevens. Het verliezen van laptops en usbsticks met gevoelige informatie. Gehackte bestanden en verkiezingen die beïnvloed worden.Kortom privacy issues beheersen de publiciteit en dat zal voorlopig zo blijven.
Bijna alle organisaties werken inmiddels met een digitale personeelsadministratie. Er worden gegevens opgeslagen bij ziek- en herstelmeldingen. Maar ook het personeelsdossier met functionerings- en beoordelingsgesprekken wordt vastgelegd. Nagenoeg alle persoonsgegevens van medewerkers worden inmiddels digitaal vastgelegd. Elke onderneming moet conform de wet bescherming persoonsgegevens (Wbp) de gegevens van de individuele medewerkers juist en nauwkeurig op te slaan. Met de invoering van de Algemene Verordening Gegevensbescherming (AVG) gaat de wetgever nog een stap verder. Het is van belang om als onderneming hier tijdig op te anticiperen.
WAAR GAAT DE PRIVACY WETGEVING OVER
Privacy wetgeving gaat over de spelregels die gelden bij de verwerking van persoonsgegevens. Voorbeelden van het verwerken van persoonsgegevens zijn onder meer; de salarisadministratie, de personeelsadministratie, administratie bij ziek- en herstelmelden etc. Het doel van de wet is om de privacy van de personen van wie gegevens worden verwerkt, te beschermen.
Dat houdt in dat de organisatie en de systemen zo moeten worden ingericht dat alleen die persoonsgegevens worden verzameld en verwerkt die noodzakelijk zijn. Uitsluitend voor het doel waarvoor de gegevens worden verzameld en verwerkt.
Dat betekent dat zo min mogelijk persoonsgegevens mogen worden verwerkt. En dus zeker geen bijzondere persoonsgegevens omtrent ras, seksualiteit, geloof e.d. Deze gegevens dienen voor zo min mogelijk mensen toegankelijk te zijn (dus werken met autorisaties volgens het “need to know” principe) en dienen dus zo kort mogelijk te worden opgeslagen. Dat noemen we dan in modern vakjargon ‘privacy by design’.
WAT IS BELANGRIJK
Alle ondernemingen zijn vanaf mei 2018 verplicht om aan de toezichthouder te kunnen laten zien dat ze “privacy compliant” zijn. Dit kan door een (intern) privacy beleid te hebben en een administratie bij te houden van alle verwerkingen van persoonsgegevens. Daarbij is het overigens in sommige gevallen verplicht om , voorafgaand aan de verwerking, een beoordeling te doen van het effect daarvan op de bescherming van persoonsgegevens. Dat noemen we dan een Privacy Impact Assessment (PIA). In een aantal gevallen is het zelfs verplicht om als onderneming (intern of extern) een aparte functionaris aan te wijzen die belast is met het toezicht op de gegevensbescherming.
BEWERKERSOVEREENKOMST
Maak je als onderneming gebruik van een andere partij bij de verwerking van persoonsgegevens, zoals een salarisbewerker, een administratiekantoor of een hosting provider voor opslag van gegevens in de cloud, dan is de noodzaak van het sluiten van bijvoorbeeld een bewerkersovereenkomst met deze partij evident.
Een bewerkersovereenkomst is de overeenkomst tussen de verantwoordelijke (werkgever) en de bewerker (salarisverwerker, administratiekantoor etc.), en waarin wordt vastgelegd hoe de bewerker met de persoonsgegevens moet omgaan. Dat betekent concreet dat er afspraken moeten worden gemaakt over de bescherming van privacy, geheimhouding, bewaartermijnen en datalekken.
DOCUMENTATIEPLICHT
De nieuwe wet verplicht ondernemingen aan te tonen dat zij niet alleen de juiste organisatorische, maar ook de juiste technische maatregelen hebben genomen om aan de eisen van de algemene verordening gegevensbescherming te voldoen. Dat betekent de plicht tot vastlegging van wat de onderneming doet en gedaan heeft en met documenten moet kunnen aantonen dat de juiste maatregelen zijn genomen.
Daarnaast worden de privacy-rechten van de medewerkers verder uitgebreid. Wanneer het verwerken van de persoonsgegevens niet strikt noodzakelijk is, zullen werkgevers expliciet toestemming moeten vragen aan hun werknemers. Werknemers hebben nu al het recht om hun personeelsdossiers in te zien, maar onder de nieuwe wet krijgen werknemers het recht om een kopie van het personeelsdossier in een standaardformaat te ontvangen.
CONCLUSIE
Alle organisaties hebben te maken met de nieuwe privacywetgeving. We leven in een digitale wereld, waarin we digitaal vertellen, delen, bestellen, vragen en antwoorden en we persoonlijke gegevens achterlaten. Bescherming van persoonsgegevens is dan ook noodzaak. Organisaties moeten aan de slag in de voorbereidingen op de nieuwe Europese privacywetgeving. Vanaf 25 mei 2018 moeten organisaties voldoen aan deze nieuwe wet. Overtredingen van deze wet kunnen oplopen tot boetes van 20 miljoen euro of 4% van de wereldwijde jaaromzet.
ISELECT HELPT U PRIVACY-PROOF TE WORDEN
Doordat we als Iselect elke dag werken met privacygevoelige informatie hebben we veel kennis over de juiste aanpak en methodiek van gegevensverwerking. Samen met onze partners, Indicia en AKD advocaten bieden we u een compleet pakket aan diensten om uw organisatie privacy-proof te maken. We hebben in deze samenwerking onze expertise gebundeld met ICT-technisch en juridische kennis. Alle kennis, ervaringen en tools hebben we op onze nieuwe website privacywet.nl samengebracht. Op de site hebben we informatie voor u gebundeld en bieden we een zogenaamde Privacycheck aan. Met deze check toetst u op eenvoudige wijze of uw organisatie voldoet aan de nieuwe privacywetgeving. U krijgt inzichtelijk welke onderwerpen nadere aandacht nodig hebben.