Aandachtspunten nieuwe privacywet (AVG)

De nieuwe privacywetgeving (AVG). Wat betekent dit voor de arboprofessional?

De Algemene verordening gegevensbescherming (AVG) is nu rond de twee jaar van kracht. Veel bedrijven zijn in 2018 actief aan de slag gegaan om de verwerking van hun persoonsgegevens te laten voldoen aan de AVG. Zeker ook vanwege het feit er bij het indienen van een klacht bij de Autoriteit Persoonsgegeven (AP) bij een overtreding hier enorme boetes op kunnen staan. Dit kan oplopen tot tientallen miljoenen.

Belangrijk is om als arboprofessional in beeld te hebben welke persoonsgegevens je verwerkt in het kader van je werk. Persoonsgegevens zijn gegevens die direct herleidbaar zijn tot het individu. Geanonimiseerde gegevens zoals een verzuimpercentage vallen hier niet onder, gegevens die zijn gepseudonimiseerd, zoals het gebruik van personeelsnummers, wel. Registraties die kunnen vallen onder de AVG zijn bijvoorbeeld de ongevallen registratie, de registratie van blootstelling aan kankerverwekkende stoffen of de registratie van officiële waarschuwingen in het kader van het sanctiebeleid veilig werken.

Op basis van de AVG mogen alleen persoonsgegevens worden verwerkt met een duidelijk omschreven doel en dit doel moet ook gerechtvaardigd. De voorbeelden die ik hierboven heb genoemd vallen in elk geval onder een duidelijk omschreven doel. Een duidelijk omschreven doel bij de ongevallen registratie is het voorkomen van ongevallen door op basis van de analyse van de ongevallen maatregelen te nemen om deze ongevallen in de toekomst te voorkomen.

Zes AVG-grondslagen

Het verwerken van persoonsgegevens mag dus alleen als het doel ook gerechtvaardigd is. Hiervoor geeft de AVG zes grondslagen. De gegevensverwerking moet minimaal voldoen aan één van de zes AVG-grondslagen. Deze grondslagen zijn:

  1. Toestemming van de betrokken persoon.
  2. De gegevensverwerking is noodzakelijk voor de uitvoering van een overeenkomst.
  3. De gegevensverwerking is noodzakelijk voor het nakomen van een wettelijke verplichting.
  4. De gegevensverwerking is noodzakelijk ter bescherming van de vitale belangen.
  5. De gegevensverwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of uitoefening van openbaar gezag.
  6. De gegevensverwerking is noodzakelijk voor de behartiging van een gerechtvaardigd belang.

Aan het einde van dit artikel staat een korte toelichting op deze zes grondslagen.

Zelf verantwoordelijk voor beoordeling AVG-grondslagen

Voor een arboprofessional is het belangrijk om te weten of de verwerking van de persoonsgegevens is gebaseerd op één van de zes grondslagen. Het bijhouden van een ongevallenregistratie is bijvoorbeeld verplicht vanuit de arbowetgeving. Dit geldt ook voor registratie van blootstelling aan kankerverwekkende stoffen. Het voeren van een sanctiebeleid in het kader van veiligheid kan vallen onder het behartigen van een gerechtvaardigd belang.

Voorbeeld: Ongevallenregistratie

Een voorbeeld: ongevallenregistratie. Het doel van deze registratie is het in kaart kunnen brengen van de oorzaken van de ongevallen om op basis hiervan prioriteiten te kunnen stellen en maatregelen te kunnen nemen om deze ongevallen in de toekomst te voorkomen. Wanneer deze stappen zijn gezet is het in het kader van het doel vaak niet meer van belang om bij het bewaren van deze gegevens de naam van de medewerker te bewaren die het ongeval heeft gehad.

Specifieke termen in de AVG: privacy by design en privacy by default

In de AVG zijn twee nieuwe termen geïntroduceerd: privacy by design en privacy by default.

Privacy by design houdt in dat bij het ontwerpen van producten en diensten er al voor wordt gezorgd dat persoonsgegevens goed worden beschermd. En dat er niet meer gegevens worden verzameld dan nodig voor de verwerking en niet langer worden bewaart dan nodig. Denk hierbij aan het ontwerpen van specifieke registratiesystemen. Dit wordt ook wel privacy bij het ontwerp genoemd.

Privacy by default houdt in dat alle technische en organisatorische maatregelen worden genomen zodat alléén persoonsgegevens worden verwerkt die nodig zijn voor het specifieke doel dat u wilt bereiken.

In het kader van de registratie van ongevallen is het bijvoorbeeld niet van belang om ook standaard te registreren of de betreffende medewerker zich bijvoorbeeld een keer heeft ziekgemeld de afgelopen maanden. Dit wordt ook wel privacy bij standaardinstellingen genoemd.

Gegevensbeschermingsbeleid en register van verwerkingsactiviteiten

Een organisatie moet kunnen aantonen dat gewerkt wordt conform de regels van de AVG. Het bijhouden van een register van verwerkingsactiviteiten vormt hier een onderdeel van en is verplicht. In het register van verwerkingsactiviteiten is het belangrijk om het volgende op te nemen:

  • Beschrijving van iedere verwerkingsactiviteit
  • Verwerkingsdoeleinden en grondslagen
  • Categorieën van betrokkenen/medewerkers en data
  • Categorieën van ontvangers
  • In geval van het delen van persoonsgegevens met derde land: waarborgen
  • Bewaartermijnen
  • Technische en organisatorische beveiligingsmaatregelen
  • Rechten van betrokkenen/medewerkers
  • Gegevens functionaris voor gegevensbescherming (indien deze is aangesteld)

Dit register kan dan meteen gebruikt worden als basis voor de invulling van de informatieplicht richting de betrokkenen/medewerkers. In het kader van de aantoonplicht kan het verstandig zijn om niet alleen een register van verwerkingsactiviteiten op te stellen maar dit onderdeel te laten zijn van het gegevensbeschermingsbeleid wat ook wel privacybeleid wordt genoemd.

In dit beleid kan dan onder andere de volgende aanvullende informatie staan: 

  • Hoe de organisatie voldoet aan de beginselen van verwerking van persoonsgegevens. Zoals de verplichting om niet meer gegevens te verwerken dan noodzakelijk
  • Welke rechten betrokkenen/medewerkers hebben en hoe zij die rechten kunnen uitoefenen. Zoals het recht om een klacht in te dienen bij de Autoriteit Persoonsgegevens (AP). Maar ook het recht op inzage, wijzigen, wissen en het ontvangen van alle geregistreerde gegevens
  • Documenteren van gegevensbeschermingseffectbeoordelingen (DPIA), indien van toepassing
  • Documenteren van passende waarborgen bij overdracht buiten de EU/EER
  • Informatievoorziening aan de betrokkenen/medewerkers
  • Bij de grondslag “toestemming” vastleggen hoe de organisatie deze vraagt en dat de organisatie deze toestemming daadwerkelijk heeft verkregen
  • Bij grondslag “gerechtvaardigd belang” deze documenteren
  • Vastleggen van processen en procedures van de rechten van de betrokkenen/medewerkers
  • Procedures over omgaan met datalekken
  • Registratie van datalekken
  • Maatregelen om invulling te geven aan de uitgangspunten van de gegevensbescherming door ontwerp en door standaardinstellingen

Het opstellen van een gegevensbeschermingsbeleid is dus niet verplicht, maar wel erg handig in het kader van de verantwoordingsplicht. Voor een arboprofessional is het praktisch om na te gaan welk beleid er aanwezig is binnen de eigen organisatie zodat je hierop kunt meeliften.

Om te voldoen aan de AVG moet dus goed nagedacht worden over hoe de organisatie persoonsgegevens verwerkt en beschermt. De verantwoordingsplicht houdt in dat de verwerkingen aan de regels van de AVG voldoen.

Er moet bijvoorbeeld aangetoond kunnen worden dat een verwerking aan de belangrijkste beginselen van verwerking voldoet, zoals:

  • Rechtmatigheid
  • Transparantie
  • Doelbinding
  • Juistheid

Ook moeten organisaties kunnen laten zien dat ze de juiste technische en organisatorische maatregelen heeft genomen om de persoonsgegevens goed te beschermen.

Beveiliging van gegevens

Het beveiligingsniveau moet zijn afgestemd op de risico’s die de gegevensverwerking met zich meebrengt. Bijvoorbeeld risico’s door ongeoorloofde toegang, vernietiging, verlies, wijziging of ongeoorloofde verwerking van persoonsgegevens. Of dat nu per ongeluk of doelbewust gebeurt. Je moet daarbij rekening houden met de volgende punten:

  • De stand van de techniek.
  • De uitvoeringskosten.
  • De aard, de omvang, de context en de verwerkingsdoeleinden van de verwerking.
  • Hoe waarschijnlijk en ernstig het is voor de betrokken personen als er een beveiligingslek ontstaat.

In het voorbeeld van de ongevallenregistratie houdt dit in dat niemand anders bij deze gegevens mag kunnen komen dan degene die iets moeten doen met deze gegevens in relatie met het doel waarvoor de gegevens worden verzameld, het voorkomen van ongevallen.

Verantwoordingsplicht

Elke organisatie is verplicht om verantwoording af te leggen over de gegevensverwerkingen wanneer de Autoriteit Persoonsgegevens daar om vraagt. Dit betekent dat organisaties onder meer moeten kunnen aantonen dat ze voldoen aan alle regels uit de AVG die op de organisatie van toepassing zijn.

Ook hiervoor geldt het belangrijk is dat je als arboprofessional aansluit bij het gegevensbeschermingsbeleid van de eigen organisatie.

Rechten van medewerkers

Een basisuitgangspunt van de AVG is dat mensen controle moeten kunnen uitoefenen op hun gegevens. In het kader van uw werk als arboprofessional zal het voornamelijk gaan om persoonsgegevens van medewerkers. Deze hebben de volgende  rechten:

  1. Recht om in te zien
  2. Recht om te wijzigen
  3. Recht om vergeten te worden
  4. Recht om gegevens over te dragen
  5. Recht op informatie.

Dit houdt in dat een arboprofessional moet nagaan of dit geregeld is voor de persoonsgegevens waar je gebuik van maakt. Ga hierover in gesprek gaan met de Functionaris Gegevensbescherming (FG) wanneer deze aanwezig is binnen de organisatie of anders bij degene die verantwoordelijk is voor het naleven van de AVG in de eigen organisatie.

Wat is belangrijk om in kaart te hebben?

Belangrijk is om onderstaande zaken in kaart te hebben:

  1. Wie is verantwoordelijk binnen de eigen organisatie voor het naleven van de AVG, is er een Functionaris Gegevensbescherming aangesteld?
  2. Welke persoonsgegevens verzamel je in je werk als arboprofessional, met welk doel en op basis van welke grondslag? Denk hierbij aan de ongevallenregistratie of de registratie van deelname aan toolboxmeetings.
  3. Is er een register van verwerkingsactiviteiten en zijn jou verwerkingen hierin opgenomen?
  4. Is er een gegevensbeschermingsbeleid en staan hier zaken in waar je rekening mee moet houden in je werk?

Toelichting op de zes grondslagen van de AVG

1 Toestemming van de betrokken persoon

Rechtsgeldige toestemming moet voldoen aan de volgende eisen:

Vrijelijk gegeven: iemand mag niet onder druk worden gezet om toestemming te geven.

Ondubbelzinnig: er moet sprake zijn van een duidelijke actieve handeling. Bijvoorbeeld een (digitale) schriftelijke of een mondelinge verklaring. Het moet in elk geval volstrekt helder zijn dát er toestemming is verleend. Je mag niet uit gaan van het principe ‘wie zwijgt, stemt toe’.

Geïnformeerd: je moet mensen informeren over: de identiteit van de organisatie, het doel van elke verwerking waarvoor toestemming wordt vraagt, welke persoonsgegevens u verzamelt en gebruikt, het recht dat zij hebben om de toestemming weer in te trekken. Het moet voor mensen net zo makkelijk zijn om de toestemming weer in te trekken als dat het was om de toestemming te geven.

Er moet kunnen worden aangetoond dat er geldige toestemming is verkregen.

2 Uitvoering van een overeenkomst

Er mag op deze grondslag worden gebaseerd als er een overeenkomst is met iemand en hiervoor het verwerken van persoonsgegevens noodzakelijk is. De overeenkomst zelf mag niet  gericht zijn op het verwerken van persoonsgegevens, maar moet een ander doel hebben.

3 Wettelijke verplichtingen

De verwerking van de persoonsgegevens moet noodzakelijk zijn om aan een wettelijke verplichting te voldoen. Het hoeft niet expliciet in de wet te staan dat voor de uitvoering van een specifieke taak persoonsgegevens moeten worden verwerkt. Het is dan aan de arboprofessional om te bepalen of het verwerken van persoonsgegevens noodzakelijk is om aan verplichting te voldoen. Zijn de persoonsgegevens echt noodzakelijk voor het nakomen van een wettelijke verplichting? Zorg ervoor dat je goed kunt onderbouwen dat er op deze grondslag mag worden gebaseerd. Onder de AVG geldt namelijk een verantwoordingsplicht.

4 Vitaal belang

Een vitaal belang is aan de orde als het over een belang gaat dat essentieel is voor iemands leven of gezondheid en jij die persoon niet om toestemming kunt vragen. Bijvoorbeeld wanneer er acuut gevaar dreigt maar iemand bewusteloos is of mentaal niet in staat is om toestemming te geven.

5 Algemeen belang of publieke taak

Alleen van toepassing als er een publieke taak wordt uitgeoefend voor het algemeen belang of openbaar gezag. Het gaat daarbij om taken die in de wet zijn vastgelegd en die relevant zijn voor de (overheids)organisatie.

6 Gerechtvaardigde belangen

Je kunt je op deze grondslag baseren als er aan drie voorwaarden wordt voldaan:

1. Er is een gerechtvaardigd belang

Het moet gaan om een gerechtvaardigd belang. Dit belang moet rechtmatig, voldoende duidelijk verwoord en ook echt aanwezig zijn. Dat is zo wanneer een verwerking aantoonbaar noodzakelijk is om uw bedrijfsactiviteiten te verrichten. Bijvoorbeeld het voeren van een personeelsadministratie.

2. De verwerking is noodzakelijk om dit gerechtvaardigde belang te behartigen.

De verwerking van de persoonsgegevens moet noodzakelijk zijn voor de behartiging van het gerechtvaardigde belang. Je moet de verwerking daarom toetsen aan de eisen van (1) proportionaliteit en (2) subsidiariteit.

Dat betekent dat je moet nagaan of (1) het doel van de verwerking in verhouding staat tot de inbreuk voor de personen van wie je persoonsgegevens verwerkt en (2) of je het doel niet op een voor de betrokken personen minder nadelige manier kan bereiken.

3. Je hebt een afweging gemaakt tussen jouw belangen en die van de personen van wie je persoonsgegevens verwerkt

Je moet een afweging maken tussen jou belangen en de belangen van de personen van wie je persoonsgegevens verwerkt. Ook moet je hierbij eventueel maatregelen treffen om ervoor te zorgen dat de rechten en vrijheden van deze personen niet zwaarder wegen dan het gerechtvaardigd belang.

Dit betekent onder meer dat de de gegevens niet langer mogen worden bewaren dan nodig is voor het doel van de verwerking.

Beleid en overheid