Deze checklist is onderdeel van arbeidsrecht.sdu.nl Checklist AVG gegevensverwerking door werkgevers. Wat te doen vóór 25 mei 2018? Auteurs: mr. J. (Janine) Weel, mr. R. (Rachel) Rietveld De bescherming van persoonsgegevens is geregeld in de Wet bescherming persoonsgegevens (Wbp) en in de Europese richtlijn bescherming persoonsgegevens (richtlijn 95/46 EG). De Wbp blijft tot 25 mei 2018 van kracht en daarna treedt de Algemene verordening gegevensbescherming (AVG) inwerking. Met de inwerkingtreding van de AVG in het vooruitzicht is het van belang voorbereid te zijn op de komende veranderingen. Bij overtreding van de verplichtingen uit de AVG kan namelijk een boete opgelegd worden. Met behulp van deze checklist kan worden nagegaan of werkgever voldoet aan de eisen van de AVG. Deze checklist is beschikbaar voor (proef)abonnees van Sdu Arbeidsrecht. Interesse in een demo of proef? Kijk op www.sdu.nl/arbeidsrechtinnovatie Datum invullen checklist: Checklist ingevuld door: Vooraf: deze checklist ziet op verwerking van persoonsgegevens. In de uitoefening van de bedrijfsvoering waar iedere werkgever mee te maken heeft, is daar sprake van. Aan sommige eisen hoeft alleen te worden voldaan als de gegevensverwerking verder gaat dan de reguliere opslag van gegevens van werknemers. Daartoe moet een inventarisatie worden gemaakt van welke persoonsgegevens worden verzameld en opgeslagen. Toelichting: Werkgever is verplicht gegevens van werknemers op te slaan en aan bijvoorbeeld de Belastingdienst te verstrekken. Dit is gegevensverwerking in de zin van de AVG, zodat aan bepaalde eisen moet worden voldaan. Verwerkt werkgever meer dan de (wettelijk) benodigde persoonsgegevens van werknemers, dan kunnen extra eisen van toepassing zijn. Hiertoe kan een inventarisatie worden gemaakt, die nodig is voor de uitvoering van de volgende stappen in de checklist: - Worden bijzondere persoonsgegevens verwerkt? - Van wie worden persoonsgegevens verwerkt en zijn deze personen hiervan op de hoogte? - Met welk doel worden de persoonsgegevens verwerkt? - Wie verwerkt de persoonsgegevens? - Worden de persoonsgegevens gedeeld?
1. Is er een gerechtvaardigd doel en een grondslag voor de verwerking van persoonsgegevens? Het verwerken van persoonsgegevens moet noodzakelijk zijn voor een gerechtvaardigd doel. Dit doel moet uitdrukkelijk zijn omschreven. Tijdens het verzamelen van persoonsgegevens moet steeds worden bekeken of het noodzakelijk is voor het bereiken van dit doel. Eenmaal verzamelde gegevens mogen ook worden gebruikt voor andere doelen, tenzij dit in strijd is met het doel waarvoor ze in eerste instantie zijn verzameld. Verwerking van persoonsgegevens mag alleen als sprake is van een grondslag die is opgenomen in de AVG. Andere grondslagen kunnen zijn: - toestemming van de persoon waarvan persoonsgegevens worden verwerkt; - andere wettelijke verplichtingen; - dat het noodzakelijk is voor de vervulling van een taak van algemeen belang, dan wel voor een taak in het kader van de uitoefening van het openbaar gezag; - behartiging van het gerechtvaardigd belang; - behartiging van het vitaal belang. Het opslaan van gegevens die nodig zijn om aan wettelijke plichten van werkgever te voldoen, heeft dus een grondslag en is ook gerechtvaardigd. Ook het opslaan van bijvoorbeeld bankgegevens om het salaris op te kunnen storten, kent een doel en een grondslag. 2. Is voldaan aan de verplichte uitgangspunten van privacy by design en privacy by default? De uitgangspunten van privacy by design en privacy by default: - bij het ontwerpen van producten en diensten wordt gezorgd voor voldoende bescherming van persoonsgegevens; - alleen gegevens worden verzameld die noodzakelijk zijn voor het doel van de verwerking; - gegevens worden niet langer bewaard dan nodig; - een organisatie moet technische en organisatorische maatregelen nemen om ervoor te zorgen dat alleen persoonsgegevens die voor het specifieke doel dat moet worden bereikt worden verwerkt. Voor een reguliere werkgever betekent dit dat gegevens van werknemers niet onnodig lang mogen worden bewaard en de gegevens niet voor iedereen inzichtelijk mogen zijn, maar alleen als dit nodig is voor uitoefening van de functie.
3. Moet een gegevensbeschermingsbeleid worden opgesteld? Een gegevensbeschermingsbeleid is voor een organisatie verplicht als dit in verhouding staat tot de verwerkingsactiviteiten. Hierbij moet rekening worden gehouden met de aard, de omvang, de context en het doel van de werking. Deze vereisten zijn in de AVG niet verder uitgewerkt, maar het komt erop neer dat een gegevensbeschermingsbeleid alleen hoeft te worden opgesteld als er veel en/of belangrijke en gevoelige informatie wordt verwerkt. Voor een bedrijf dat niet werkt met persoonsgegevens zal dit niet het geval zijn. Als het opstellen van een gegevensbeschermingsbeleid niet verplicht is, dan kan het wel verstandig zijn om dit vrijwillig te doen. Op die manier kan gemakkelijker worden voldaan aan de verantwoordingsplicht. In het gegevensbeschermingsbeleid moet zijn opgenomen dat werkgever erop toeziet dat iedere verwerking van persoonsgegevens een legitiem doel heeft, dat de verwerking van persoonsgegevens niet verder gaat dan noodzakelijk en dat de persoonsgegevens niet voor een ander doel worden gebruikt. Ook zal werkgever ervoor moeten zorgdragen dat de verwerking rechtmatig geschiedt, bijvoorbeeld met toestemming van werknemer of van de sollicitant of op grond van een wettelijke bepaling of een gerechtvaardigd belang. Deze verplichtingen gelden ook voor de gegevens van derden, zoals klanten en leveranciers van wie werkgever de gegevens verwerkt. 4. Moet een data protection impact assessment (DPIA) worden uitgevoerd? DPIA is een middel om vooraf overzicht te krijgen van de privacyrisico s van gegevensverwerking. Vervolgens kunnen de risico s dan worden verkleind door maatregelen te nemen. In sommige gevallen moet verplicht een DPIA worden uitgevoerd. Als een grote kans aanwezig is dat de gegevensverwerking een groot privacyrisico oplevert voor de mensen van wie een organisatie gegevens verwerkt, dan is een DPIA verplicht. Dit is het geval voor een organisatie die: - systematisch en uitgebreid persoonlijke aspecten toetst, waaronder profiling; - op grote schaal bijzondere persoonsgegevens verwerkt; - op grote schaal en systematisch mensen volgt in een publiek toegankelijk gebied (bijvoorbeeld aan de hand van cameratoezicht). Het is ook mogelijk vrijwillig een DPIA uit te voeren ter bevordering van de gegevensbescherming. Een reguliere werkgever waarvan de bedrijfsactiviteiten zich niet op verwerking van persoonsgegevens richten, zal geen DPIA hoeven uitvoeren.
5. Moet een register van verwerkingsactiviteiten worden opgesteld? Heeft werkgever een organisatie meer dan 250 werknemers, dan is een verwerkingsactiviteitenregister verplicht. Heeft werkgever een organisatie minder dan 250 werknemers, dan is een organisatie alleen verplicht zo n register bij te houden als persoonsgegevens worden verwerkt: - waarvan de verwerking niet incidenteel is; - die een risico inhouden voor de rechten en vrijheden van de personen van wie persoonsgegevens worden verwerkt; en/of - die vallen onder de categorie bijzondere persoonsgegevens. Als het uitvoeren van een register van verwerkingsactiviteiten niet verplicht is, dan kan het wel verstandig zijn om dit vrijwillig te doen. Op die manier kan gemakkelijker worden voldaan aan de verantwoordingsplicht. In het register van verwerkingsactiviteiten wordt informatie vastgelegd over persoonsgegevens die door de organisatie worden verwerkt. Afhankelijk van de omvang van de organisatie en het type gegevens is het register van verwerkingsactiviteiten verplicht. 6. Moet een Functionaris Gegevensbescherming (FG) worden aangesteld? Een FG houdt toezicht op de toepassing en naleving van de AVG binnen een organisatie. In sommige gevallen moet verplicht een FG worden aangesteld die toezicht houdt op de gegevensverwerkingen. Dit is het geval voor: - overheidsinstanties en publieke organisaties; - organisaties die vanuit hun kernactiviteiten op grote schaal individuen volgen; - organisaties die bijzondere persoonsgegevens verwerken en dit een kernactiviteit is; Als geen verplichting bestaat om een FG aan te stellen, dan mogen organisaties deze ook vrijwillig aanstellen. Een reguliere werkgever zal niet verplicht zijn een FG aan te stellen, tenzij de werkzaamheden verwerking van persoonsgegevens omvatten.
7. Moet een verwerkingsovereenkomst worden gesloten met de verwerker of is hier geen sprake van? Als een organisatie de gegevensverwerking heeft uitbesteed aan een verwerker dan is een verwerkingsovereenkomst verplicht. Een verwerker is bijvoorbeeld een accountantskantoor of een andere derde die voor bepaalde werkzaamheden wordt ingezet. Voor veel werkgevers zal het dus een plicht zijn verwerkingsovereenkomsten op te stellen. De volgende onderwerpen moeten in de overeenkomst zijn geregeld: - algemene beschrijving; - instructies verwerking; - geheimhoudingsplicht; - beveiliging; - subverwerkers; - privacyrechten; - andere verplichtingen; - gegevens verwijderen; - audits. 8. Weet iedereen die binnen de organisatie met persoonsgegevens werkt wat te doen als een datalek optreedt? Een datalek is een inbreuk op de beveiliging van persoonsgegevens. Hiervan is sprake als gegevens ongeoorloofd zijn gewijzigd, verstrekt of ingezien. Ook als persoonsgegevens verloren zijn gegaan (bijvoorbeeld door brand) is sprake van een datalek. Let op: als sprake is van een datalek dan moet deze in beginsel zo spoedig mogelijk en in ieder geval binnen 72 uur na het bekend worden met het datalek worden gemeld aan de Autoriteit Persoonsgegevens. Dit hoeft niet als het datalek geen risico oplevert voor de rechten en vrijheden van de betrokkenen. In sommige gevallen moet het datalek ook worden gemeld aan de persoon van wie persoonsgegevens zijn gelekt. 9. Is een register opgesteld voor het geval een datalek optreedt? Alle datalekken binnen de organisatie moeten worden vastgelegd in een register. Hierin moet worden vastgelegd: - welk soort gegevens het betreft; - een omschrijving van het datalek; - wanneer het datalek plaats vond; - wat er met de persoonsgegevens is gebeurd; - van welke (groep) personen gegevens gelekt zijn.