Privacy komt de laatste tijd steeds meer in het nieuws. Denk maar aan de organisaties die personeelsgegevens lekken, een lijst met loonsverhogingen die op het kopieerapparaat blijft liggen, hackers die bij de bestanden van patiënten kunnen of werknemers die usb-sticks met gevoelige informatie laten slingeren. Om de privacy van mensen beter te beschermen komt er nieuwe wetgeving. Op 25 mei 2018 worden de nieuwe privacyregels van kracht. Er komt dan één Europese privacywet, de Algemene Verordening Gegevensbescherming (AVG). Deze wet zal de Wet bescherming persoonsgegevens vervangen.
De Algemene Verordening Gegevensbescherming (AVG)
De AVG zorgt voor een uitbreiding en versterking van de privacyrechten. Organisaties hebben meer verantwoordelijkheid voor privacy. Als u slordig omgaan met privacy dan kan uw organisatie een boete krijgen. Deze boetes kunnen oplopen tot 20 miljoen euro of 4% van de wereldwijde omzet. Er kan bovendien makkelijker worden geklaagd bij de Autoriteit Persoonsgegevens (AP) als er onzorgvuldig met de gegevens wordt omgegaan. De AP moet iedere klacht behandelen. Dat en de nieuwe regels hebben grote gevolgen voor organisaties.
De nieuwe privacyregels vragen namelijk een gedegen voorbereiding, omdat ze voor de 25ste mei 2018 geïmplementeerd moeten zijn. Organisaties die persoonsgegevens verwerken krijgen door de AVG meer verplichtingen. Zij moeten veel duidelijker laten zien dat ze zich aan de privacywetgeving houden (een documentatieplicht). Als de organisaties dat niet kunnen of ze overtreden de AVG dan kunnen ze een boete krijgen.
Bewust worden
Dat betekent dat iedereen die betrokken is bij persoonsgegevens kennis moet hebben van de AVG. Dus in ieder geval HR, want u hebt de beschikking over de personeelsgegevens en de gegevens van sollicitanten. Organisaties moeten zich meer bewust worden van de privacy. Organisaties zijn in de nieuwe wet verplicht om een zogeheten Privacy Impact Assessment (PIA) uit te voeren als de gegevensverwerking een hoog privacy risico met zich meebrengt. De PIA is een instrument om vooraf de privacy risico’s van gegevensverwerking in kaart te brengen. Hierdoor kunt u tijdig maatregelen nemen. Als uw organisatie nieuwe producten ontwerpt dan moet er ook al gekeken worden naar de privacyrisico’s. Als uw organisatie persoonsgegevens verwerkt mag dat alleen waarvoor het bedoeld is. Gewoon maar alles van iedereen in een bestand zetten mag niet meer. Wat mag er nog in een personeelsdossier staan? Zo zal privacy een steeds belangrijkere rol gaan spelen.
Functionaris voor de gegevensbescherming
Als persoonsgegevens een grote rol spelen in uw organisatie dan moet u misschien vanaf 25 mei 2018 een functionaris voor de gegevensbescherming (FG) aanstellen. Dit is iemand die binnen de organisatie toezicht houdt op de toepassing en naleving van de AVG. Overheidsinstanties en zorgorganisaties en bedrijven die op grote schaal persoonsgegevens verkrijgen of bewerken zullen in ieder geval zo’n functionaris moeten hebben. Voor rechtbanken geldt deze verplichting niet. EU-lidstaten kunnen ook andere situaties benoemen waarin een FG verplicht is. Het is nog niet bekend of dit in Nederland gaat gebeuren. HR kan dit alvast uitzoeken, want als een FG voor uw organisatie verplicht is dan moet hij voor 25 mei 2018 aangesteld zijn.
Meer weten?
Als u meer over de privacy risico’s, de Algemene Verordening Gegevensbescherming, de rol van de HR, de wetgeving en de gevolgen voor uw organisatie wilt weten, volg dan de cursus Omgaan met privacy. In een dag bent u op de hoogte.