Wat is AVG?
AVG staat voor Algemene Verordening Gegevensverwerking, een Europese verordening die regels en richtlijnen geeft hoe bedrijven en overheden moeten omgaan met de bescherming van persoonsgegevens.
Door de ontwikkelingen van de sociale media, zoals Facebook en Twitter, zijn de regels en richtlijnen van de huidige WBP (Wet Bescherming Persoonsgegevens) niet meer voldoende en dekkend.
In 2016 is deze nieuwe AVG vastgesteld en aangenomen en vanaf 25 mei 2018 vervangt deze verordening de oude wet WBP. Gezien de vele aandacht die er voor dit onderwerp momenteel is, lijkt het alsof veel bedrijven tot de laatste maanden vóór invoering hebben gewacht om zich hierop voor te bereiden.
Wat houdt de AVG in?
Belangrijkste richtlijnen/gevolgen uit de AVG:
- Meer verantwoordingsplicht over hoe gegevensbescherming geregeld is
- Geldige toestemming van betrokkenen om hun gegevens te mogen verwerken
- Gegevens en identiteit van de verantwoordelijke voor de bescherming persoonsgegevens
- Aangeven voor welke doelen gegevens verzameld worden en met welke rechtsgrond
- Het recht van betrokkenen om gegevens te kunnen inzien, te laten rectificeren, bezwaren te maken tegen verzameling gegevens en het doorgeven daarvan aan derden
- Het recht van betrokkenen om bepaalde gegevens te laten verwijderen en te kunnen eisen dat dit ook gebeurt bij organisaties die deze gegevens ook hebben ontvangen
- Het recht om een klacht in te dienen bij de Autoriteit Persoonsgegevens
- Is gegevensverstrekking voor betrokkene verplicht en wat zijn de gevolgen bij weigering?
- De Autoriteit Persoonsgegevens kan boetes opleggen tot 20 miljoen of 4% van de jaaromzet
Rol ondernemingsraad
De ondernemingsraad is al veel langer betrokken bij hoe er met persoonsgegevens in een organisatie wordt om gegaan. Artikel 27, lid 1, K en L luiden:
- een regeling omtrent het verwerken van alsmede de bescherming van de persoonsgegevens van de in de onderneming werkzame personen;
- een regeling inzake voorzieningen die gericht zijn op of geschikt zijn voor waarneming van of controle op aanwezigheid, gedrag of prestaties van de in de onderneming werkzame personen;
En het instemmingsrecht is van toepassing bij vaststelling, intrekking of wijziging van een dergelijke regeling. Dit betekent dus concreet dat de ondernemingsraad betrokken moet worden bij:
- contract deskundige ondersteuning bij ziekteverzuimbegeleiding, PAGO’s, enz.
- personeelsdossiers (welke gegevens, welk doel en wie heeft toegang)
- salarisadministratie (intern of door externe partij)
- managementinformatiesystemen (voor zover deze gegevens bevatten die herleidbaar zijn to de persoon)
- personeelsvolgsystemen
Kortom: heel wat werk te verzetten en redenen om in overleg te gaan met afdeling HR/P&O.
