Op 25 mei 2018 gaat de Europese Algemene Verordening Gegevensbescherming (AVG), ook wel General Data Protection Regulation (GDPR) geheten, in en bedrijven moeten vanaf dat moment voldoen aan de nieuwe regels. Deze wet heeft belangrijke gevolgen voor het opslaan van fysieke en digitale HR-gegevens. Zo moeten bedrijven in bepaalde gevallen een Data Protection Officer (DPO) aanstellen. De DPO is verplicht:

• bij alle overheidsinstanties (ongeacht omvang of type gegevens)
• bij andere organisaties:
  * als ze in het kader van hun kernactiviteiten op grootschalige wijze bijzondere gegevens verwerken (bijv. een arbodienst)
  * als ze in het kader van hun kernactiviteiten op grootschalige wijze stelselmatig personen observeren (dus bijv. een bewakingsbedrijf)

Bedrijven mogen overigens altijd op vrijwillige basis een DPO aanstellen, die dan wel alle bevoegdheden en bescherming krijgt.

Privacy Impact Assessment (PIA)

Een PIA is alleen verplicht als er waarschijnlijk een hoog risico voor de fundamentele belangen van personen te verwachten valt. De toezichthouders hebben onlangs richtsnoeren uitgevaardigd waarin ze uitleggen wat zij onder zo’n hoog risico verstaan. Het gaat onder meer over: gegevens van kwetsbare groepen (waaronder werknemers!), bijzondere gegevens (etniciteit, geloof, gezondheid, vakbondslidmaatschap, etc), profiling met significante- of rechtsgevolgen, systematische monitoring, doorgifte van persoonsgegevens naar een land zonder passend beschermingsniveau, etc.

Volgens de toezichthouders moet de PIA worden uitgevoerd als je aan minimaal twee van deze criteria voldoet (geen wet, maar uitgangspunt van toezicht). Dat zou betekenen dat op bijvoorbeeld het structureel gebruik van een personeelsvolgsysteem (zie voor definitie art. 27 lid 1 sub L WOR) wel een PIA moet worden gedaan, maar op de salarisadministratie en de personeelsdossiers niet (tenzij de data daarvan bijv. in India worden gehost). Ook hier geldt dat bedrijven wel op vrijwillige basis een PIA mogen doen. Dat is overigens ook verstandig, omdat de PIA hét middel is om de privacy- en compliancerisico’s in beeld te krijgen. 

Persoonsgegevens bijhouden in register

Met de komst van de AVG moeten de processen rondom verwerking van persoonsgegevens worden bijgehouden in een register, met onder meer de bewaartermijnen en een omschrijving van de beveiligingsmaatregelen. Dit geldt overigens alleen voor bedrijven vanaf 250 medewerkers, tenzij het waarschijnlijk is dat de verwerking die zij verrichten een risico inhoudt voor de rechten en vrijheden van de betrokkenen, de verwerking niet incidenteel is, of het een verwerking van bijzondere categorieën van gegevens betreft (bijv. gezondheidsgegevens).

Het probleem met deze uitzondering is echter dat de toepassing ervan in veel gevallen niet geldt, omdat bijvoorbeeld een gemiddeld HR-systeem misschien niet-privacygevoelig is, maar wel structureel is en dus gedocumenteerd zal moeten worden. Incidenteel nevengebruik van niet gevoelige dataverwerkingen hoeft dus door het mkb niet gedocumenteerd te worden (bijv. het verstrekken van het huisadres van een zieke medewerker aan een bloemenbezorgservice).

Overigens is het in sommige gevallen wettelijk verplicht om daadwerkelijke datalekken en het verlies van persoonsgegevens te rapporteren.

Recht om vergeten te worden?

Een algemeen recht op 'vergeten te worden' bestaat niet. Het recht om een verzoek in te dienen om gegevens te laten wissen geldt alleen in hele specifieke gevallen:

• Als de gegevens geen doel meer hebben (lees: als de uiterste bewaartermijn verstreken is).
• Als de gegevens worden verwerkt op basis van toestemming en de toestemming wordt ingetrokken en er geen andere reden is om de gegevens te bewaren (overigens wordt toestemming van medewerkers geacht ongeldig te zijn)
• Als de gegevens worden verwerkt op basis van een gerechtvaardigd belang van de werkgever en de medewerker slaagt erin om daar succesvol bezwaar tegen te maken en er geen andere reden is om de gegevens te bewaren.
• Als de gegevens onrechtmatig worden verwerkt (denk bijv. aan medische diagnoses die de werkgever helemaal niet mag hebben zonder expliciete toestemming van de werknemer).
• Als de gegevens moeten worden gewist op grond van de wet.
• Als het gegevens van kinderen betreft in het kader van een online dienst.

Bedrijven 'in paniek'

"Klanten zijn in paniek," zegt Patrick Van Eecke, partner bij advocatenkantoor DLA Piper in het FD. "Veel te veel bedrijven zijn te laat wakker geworden. Ze beseffen zich nu pas dat het niet gaat om 'eventjes de privacypolicy op de website aanpassen'. Het gaat ook om aanpassing van de IT-systemen, de beveiliging. Technische maatregelen dus, bijvoorbeeld dat ze gegevens niet langer bewaren dan nodig is. En dat daarna de gegevens kunnen worden vernietigd of geanonimiseerd." Wie nu echt nog moet beginnen, is te laat, zegt privacy-advocaat Lokke Moerel, werkzaam voor het Amerikaanse kantoor Morrison & Foerster en hoogleraar in Tilburg. "Voor een goede implementatie heb je zeker één en misschien wel twee jaar nodig."

Met dank aan mr.drs. J.H.J. Terstegge CIPP E/US, Privacy Management Partners