Checklists
Laatst gewijzigd op: 27 november 2017

Algemene verordening gegevensbescherming (AVG)

In de Algemene verordening gegevensbescherming (AVG) zijn de belangrijkste regels voor de omgang met persoonsgegevens in Nederland vastgelegd. Dat betekent dat u als werkgever transparant moet zijn met de gegevens die u van uw medewerkers, ex medewerkers en sollicitanten verwerkt en bewaart. Ook moet het doel waarvoor uw persoonsgegevens verwerkt, verenigbaar zijn met het doel waarmee u de persoonsgegevens verzamelt.

Meer rechten voor werknemer

Werknemers krijgen met de AVG meer rechten wat betreft hun privacy. Als werkgever moet u natuurlijk gegevens van uw werknemer verwerken, denk maar aan de bankrekening om elke maand het salaris over te maken. Voor het verzamelen van persoonsgegevens geldt als uitgangspunt: zo min mogelijk.

Voor gegevens, zoals over ras, gezondheid en geloofsovertuiging, gelden extra strenge regels. De gegevens die u verwerkt, moeten passen bij het doel waarvoor u ze verwerkt. Daarnaast moet u als verwerkingsverantwoordelijke ervoor zorgen dat de gegevens juist zijn en actueel. Ook moeten de gegevens goed worden beveiligd.

Een werknemer heeft het recht zijn toestemming in te trekken om gegevens te verwerken. Als werkgever heeft u de plicht te bewijzen dat u toestemming van uw werknemer heeft om zijn of haar gegevens te verwerken.

Inzage, correctie en verwijdering

Werknemers krijgen het recht om persoonsgegevens die u van hen verwerkt in te zien, te corrigeren en te verwijderen. Zij kunnen gegevens opvragen die van hen verwerkt zijn, bijvoorbeeld bij een re-integratietraject. Vervolgens kunnen ze een verzoek doen gegevens, indien niet meer relevant, te verwijderen.

Onder het begrip ‘persoonsgegevens’ vallen alle gegevens waaruit je de persoon kunt herleiden. Denk hierbij ook aan een IP-adres.

Zes grondslagen AVG

Als u persoonsgegevens verwerkt moet volgens de AVG een of meerdere van deze zes grondslagen voor u van toepassing zijn:

  1. U heeft toestemming van de persoon om wie het gaat, dat wil zeggen de persoonsgegevens  zijn vrijelijk verkregen, ondubbelzinning zijn verleend, de persoon is vooraf geïnformeerd en op de hoogte gebracht voor welk specifiek doel de gegevens worden verwerkt.
  2. Het is noodzakelijk om gegevens te verwerken om een overeenkomst uit te voeren.
  3. Het is noodzakelijk om gegevens te verwerken omdat u dit wettelijk verplicht bent.
  4. Het is noodzakelijk om gegevens te verwerken om vitale belangen te beschermen: een belang dat essentieel is voor iemands leven of gezondheid.
  5. Het is noodzakelijk om gegevens te verwerken om een taak van algemeen belang of openbaar gezag uit te oefenen. Het gaat om taken die in de wet zijn vastgelegd en die relevant zijn voor uw organisatie.
  6. Het is noodzakelijk om gegevens te verwerken om uw gerechtvaardigde belang te behartigen. Dat is alleen mogelijk als uw belang zwaarder weegt dan dat van de betrokkenen.

Hoge boetes

Het overtreden van de Algemene verordening gegevensbescherming (AVG) kan u duur komen te staan. De Autoriteit Persoonsgegevens (AP) kan bij overtreding een boete opleggen van maximaal 20 miljoen euro of 4% van de wereldwijde jaaromzet.

Verwerkingsregister

Bij de AVG heeft u een documentatieplicht. Dat betekent dat u een verwerkingsregister moet bijhouden. U moet met documenten kunnen aantonen dat u de juiste organisatorische en technische maatregelen heeft genomen om aan de AVG te voldoen.

Data protection impact assessment (DPIA)

Het is niet verplicht om een Data protection impact assessment (DPIA) uit te voeren. Een DPIA is een instrument om vooraf de privacyrisico’s en maatregelen van gegevensverwerking in kaart te brengen. Dit is vanaf mei 2018 alleen verplicht voor organisaties met een hoog privacyrisico, denk hierbij aan organisaties die veel bijzondere persoonsgegevens verwerken.

Ook al is het niet verplicht, het is wel aan te raden een DPIA uit te voeren. Zo weet u zeker dat uw organisatie AVG-bestendig is.

Functionaris gegevensbescherming

Het aanstellen van een functionaris gegevensbescherming is in sommige gevallen verplicht:

  • als er op grote schaal bijzondere persoonsgegevens verwerkt worden;
  • als de hoofdfunctie van de organisatie om observatie draait. Denk hierbij aan cameratoezicht of monitoring van gezondheid;
  • als het een overheidsinstantie of publieke organisatie betreft.