De privacywetgeving verandert
Privacy komt de laatste tijd steeds meer in het nieuws. Denk maar aan de organisaties die persoonsgegevens lekken of hackers die bij de bestanden van patiënten kunnen. Of werknemers die usb-sticks met gevoelige informatie laten slingeren. Om de privacy van mensen beter te beschermen komt er nieuwe wetgeving. Op 25 mei 2018 worden de nieuwe privacyregels van kracht. Er komt dan één Europese privacywet, de Algemene Verordening Gegevensbescherming (AVG). Deze wet zal de Wet bescherming persoonsgegevens vervangen.
De Algemene Verordening Gegevensbescherming (AVG)
De AVG zorgt voor een uitbreiding en versterking van de privacyrechten. Organisaties hebben meer verantwoordelijkheid voor privacy. Als organisaties slordig omgaan met privacy dan kunnen ze een boete krijgen. Deze boetes kunnen oplopen tot 20 miljoen euro. Er kan bovendien makkelijker worden geklaagd bij de Autoriteit Persoonsgegevens (AP) als er onzorgvuldig met de gegevens wordt omgegaan. De AP moet iedere klacht behandelen. Dat en de nieuwe regels hebben grote gevolgen voor organisaties.
De nieuwe privacyregels vragen namelijk een gedegen voorbereiding, omdat ze voor de 25ste mei geïmplementeerd moeten zijn. Organisaties die persoonsgegevens verwerken krijgen door de AVG meer verplichtingen. Zij moeten veel duidelijker laten zien dat ze zich aan de privacywetgeving houden (een documentatieplicht). Als de organisaties dat niet kunnen of ze overtreden de AVG dan kunnen ze een boete krijgen.
Bewust worden
Dat betekent dat iedereen die betrokken is bij persoonsgegevens kennis moet hebben van de AVG. Organisaties moeten zich meer bewust worden van de privacy. De OR kan de bestuurder hierop wijzen. Organisaties zijn in de nieuwe wet verplicht om een zogeheten Privacy Impact Assessment (PIA) uit te voeren als de gegevensverwerking een hoog privacy risico met zich meebrengt. De PIA is een instrument om vooraf de privacy risico’s van gegevensverwerking in kaart te brengen. Hierdoor kunt u tijdig maatregelen nemen. Als uw organisatie nieuwe producten ontwerpt dan moet er ook al gekeken worden naar de privacyrisico’s. Als uw organisatie persoonsgegevens verwerkt mag dat alleen waarvoor het bedoeld is. Gewoon maar alles van iedereen in een bestand zetten mag niet meer. Zo zal privacy een steeds belangrijkere rol gaan spelen.
Functionaris voor de gegevensbescherming
Als persoonsgegevens een grote rol spelen in uw organisatie dan moet u misschien vanaf 25 mei 2018 een functionaris voor de gegevensbescherming (FG) aanstellen. Dit is iemand die binnen de organisatie toezicht houdt op de toepassing en naleving van de AVG. Overheidsinstanties en zorgorganisaties en bedrijven die op grote schaal persoonsgegevens verkrijgen of bewerken zullen in ieder geval zo’n functionaris moeten hebben. Voor rechtbanken geldt deze verplichting niet. EU-lidstaten kunnen ook andere situaties benoemen waarin een FG verplicht is. Het is nog niet bekend of dit in Nederland gaat gebeuren.
De OR
Ook de OR krijgt hiermee te maken, want de OR heeft instemmingsrecht bij regelingen voor het verwerken van persoonsgegevens en bij de invoering of wijziging van personeel volgsystemen. Als er in uw organisatie het nodige verandert door de Algemene Verordening Gegevensbescherming (AVG) dan is het goed om te kijken of u geen instemmingsrecht hebt. Als er een privacy officer moet komen dan kunt instemmingsrecht hebben als de werkzaamheden van de privacyofficer betrekking hebben op het interne toezicht.
Meer weten?
Als u meer over de privacy risico’s, de rol van de OR, de wetgeving en de gevolgen voor uw organisatie wilt weten volg dan de cursus OR en privacy. In een dag bent u op de hoogte.