4. AVG-privacyregels
(update special lonen 2018)

Publicatiedatum 3 juli 2018

Op 25 mei 2018 is de Algemene Verordening Gegevensbescherming (AVG) ingegaan. De AVG vervangt de Wet bescherming persoonsgegevens (Wbp) die per diezelfde datum is komen te vervallen. De AVG brengt nieuwe verplichtingen en verantwoordelijkheden met zich mee. Alle bedrijven en organisaties die werken met persoonsgegevens werken volgens deze AVG, dus ook kleine MKB’ers en ZZP’ers.

Als werkgever bewaart u gegevens van uw relaties, maar ook documenten en gegevens van uw personeel. U heeft in beide gevallen te maken met de bepalingen van de AVG.

Dat betekent dat u als organisatie meer verplichtingen heeft bij het verwerken van persoonsgegevens dan onder de oude wet. De AVG legt namelijk meer nadruk op de verantwoordelijkheid van u als organisatie om aan te tonen dat u zich aan de wet houdt. Dit heet de verantwoordingsplicht.

Verantwoordingsplicht

De verantwoordingsplicht houdt in dat u moet kunnen aantonen dat u de juiste organisatorische en technische maatregelen heeft genomen om aan de AVG te voldoen. Maar de AVG biedt u als organisatie tegelijkertijd meer instrumenten die u helpen om de wet na te leven. Bijvoorbeeld modelbepalingen voor doorgifte van persoonsgegevens.

Nieuwe privacyrechten

Naast versterking van de bestaande rechten krijgen mensen door de AVG een aantal aanvullende rechten, zoals het recht op inzage en het recht op dataportabiliteit.

 Recht op inzage

Mensen – waaronder uw werknemers – kunnen een organisatie vragen of deze persoonsgegevens van hen heeft vastgelegd. Hiervoor hoeven zij geen reden aan te geven. Vraagt iemand om inzage, dan moet de organisatie diegene op een duidelijke en begrijpelijke manier laten weten of de organisatie zijn persoonsgegevens gebruikt en zo ja:

  • om welke gegevens het gaat;
  • wat het doel is van het gebruik;
  • aan wie de organisatie de gegevens eventueel heeft verstrekt;
  • wat de herkomst is van de gegevens, als deze bekend is.

Het recht op inzage betreft overigens alleen inzage in iemands eigen gegevens.

Recht op dataportabiliteit

Dit betekent dat mensen straks (onder bepaalde voorwaarden) het recht hebben om van de organisatie hun persoonsgegevens in een standaardformaat te ontvangen. Zo kunnen zij hun gegevens makkelijk doorgeven aan een andere leverancier van dezelfde soort dienst. Zij kunnen zelfs eisen dat de organisatie hun persoonsgegevens direct doorstuurt aan de nieuwe dienstverlener, als dat (technisch) mogelijk is.

De gegevensverwerking uitbesteed?

Indien u de gegevensverwerking heeft uitbesteed aan een verwerker, dan dient u te beoordelen in hoeverre de overeenkomst voldoet aan de eisen die de AVG aan een overeenkomst met de verwerker stelt. Het is belangrijk om tijdig wijzigingen aan te brengen.

Verzorgt VANDERLAANGROEP voor u de salarisadministratie, dan dient u vast te leggen welke informatie u doorgeeft. Dit is uitsluitend de informatie die nodig is voor het opstellen van een juiste en volledige loonberekening en loonaangifte. U maakt ook kenbaar aan uw werknemers welke informatie u doorgeeft en met welk doel.

In de verwerkersovereenkomst dient onder andere het volgende aan bod te komen:

  1. Algemene beschrijving van de aard en het doel van de verwerking, soort persoonsgegevens en rechten en plichten van u;
  2. Instructies ten aanzien van de verwerking;
  3. Geheimhoudingsplicht voor werknemers in dienst van of werkzaam voor de verwerker;
  4. Beveiliging: passende technische en organisatorische maatregelen;
  5. Subverwerkers: niet zonder toestemming;
  6. Privacyrechten: recht op inzage, correctie, vergetelheid en dataportabiliteit;
  7. Andere verplichtingen: melden datalekken, uitvoeren data protection impact assessment en dataminimalisatie;
  8. Gegevens verwijderen: niet langer bewaren dan noodzakelijk;
  9. Audits: medewerking verlenen.

Bewaartermijn

Uitgangspunt bij de AVG is dat gegevens niet langer bewaard mogen worden dan noodzakelijk is voor het doel van de verwerking. Een termijn wordt daarbij niet genoemd, aangezien dit per geval kan verschillen. Wel worden in andere wetten concrete bewaartermijnen genoemd.

Onder de AVG moet in ieder geval het volgende geregeld worden ten aanzien van de bewaartermijn:

  • Van tevoren bepaalt u hoe lang u de persoonsgegevens bewaart. Als dat niet mogelijk is, bepaalt u in elk geval de criteria voor het vaststellen van de bewaartermijn. De bewaartermijn of de criteria legt u vast in een bewaarbeleid.
  • De bewaartermijnen moeten worden vastgelegd, bijvoorbeeld in een register van verwerkingen.
  • De betrokkenen (de mensen van wie u gegevens verwerkt) informeert u over de bewaartermijnen, bijvoorbeeld via een privacyverklaring op uw website.

 Langere bewaartermijn

In een aantal situaties mogen, onder voorwaarden, gegevens langer worden bewaard dan noodzakelijk is voor het oorspronkelijke doel van de verwerken. U kunt daarbij denken aan gegevens die onder andere van belang zijn voor wetenschappelijk of historisch onderzoek, voor statistische doeleinden of voor het algemeen belang.

Let op!
Na afloop van de verwerkingsdiensten verwijdert de verwerker de gegevens. Of bezorgt hij deze aan u terug als u dat wilt. Ook verwijdert hij kopieën. Dit is slechts anders als de verwerker wettelijk verplicht is de gegevens te bewaren.

Tip:
Kijk op de website van de Autoriteit Persoonsgegevens voor meer informatie.

Vragen?

Stel uw vraag gerust bij één van onze adviseurs

Contact

Share this Post