Aandachtspunten nieuwe privacywet (AVG)

Beleid en overheid
Achtergrondartikel
De nieuwe privacywetgeving (AVG). Wat betekent dit voor de arboprofessional?

De AVG is per 25 mei 2018 voor alle bedrijven in Nederland van toepassing. Aandachtspunten van de nieuwe privacywet voor de arboprofessional.

De AVG geeft een aantal specifieke grondslagen op basis waarvan persoonsgegevens verzameld mogen worden. Het gaat hierbij vaak om ‘gewone’ persoonsgegevens. ‘Gewone’ persoonsgegevens zijn gegevens als naam, geboortedatum, foto enzovoorts. Bijzondere persoonsgegevens zijn persoonsgegevens als politieke voorkeur, lid van een vakbond of bijvoorbeeld medische gegevens.

Zes AVG-grondslagen
Je mag alleen ‘gewone’ persoonsgegevens verwerken wanneer de gegevensverwerking op minimaal één van de zes AVG-grondslagen te baseren is. Deze grondslagen zijn:

  1. Toestemming van de betrokken persoon. 
  2. De gegevensverwerking is noodzakelijk voor de uitvoering van een overeenkomst.
  3. De gegevensverwerking is noodzakelijk voor het nakomen van een wettelijke verplichting.
  4. De gegevensverwerking is noodzakelijk ter bescherming van de vitale belangen.
  5. De gegevensverwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of uitoefening van openbaar gezag.
  6. De gegevensverwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen.

Aan het einde van dit artikel staat een korte toelichting op deze zes grondslagen.

Zelf verantwoordelijk voor beoordeling AVG-grondslagen
Als arboprofessional ben je zelf verantwoordelijk voor de beoordeling of de verwerking van persoonsgegevens is gebaseerd op één van de zes grondslagen. Het bijhouden van een ongevallenregistratie is bijvoorbeeld verplicht vanuit de arbowetgeving. Dit geldt ook voor de registratie van blootstelling aan kankerverwekkende stoffen. Het voeren van een sanctiebeleid in het kader van veiligheid kan vallen onder het behartigen van de gerechtvaardigde belangen.

Doel van gegevensverwerking formuleren
De volgende stap is om concreet te formuleren wat het doel is van de gegevensverwerking. In de wet wordt hiervoor de term ‘doelbinding’ gebruikt. Belangrijk is dat bij alle systemen waarin persoonsgegevens worden opgeslagen of in personeel volgsystemen duidelijk het doel weer geeft waarvoor deze gegevens nodig zijn. Ook moet het duidelijk zijn waar de gegevens vandaan komen en met wie ze worden gedeeld.

In de AVG valt dit onder de verantwoordingsplicht. Het moet aantoonbaar zijn dat er wordt gewerkt conform de regels van de AVG. Het bijhouden van een register van verwerkingsactiviteiten is hier een onderdeel van.

Voorbeeld: Ongevallenregistratie
Een voorbeeld: ongevallenregistratie. Het doel van deze registratie is het in kaart kunnen brengen van de oorzaken van de ongevallen. Om op basis hiervan prioriteiten te kunnen stellen en maatregelen te kunnen nemen om deze ongevallen in de toekomst te voorkomen. Wanneer deze stappen zijn gezet is het in het kader van het doel vaak niet meer van belang om bij het bewaren van deze gegevens de naam van de medewerker te bewaren die het ongeval heeft gehad.

Nieuwe termen: privacy by design en privacy by default
In de AVG worden twee nieuwe termen geïntroduceerd: privacy by design en privacy by default.

Privacy by design houdt in dat bij het ontwerpen van producten en diensten er al voor wordt gezorgd dat persoonsgegevens goed worden beschermd. En dat er niet meer gegevens worden verzameld dan nodig voor de verwerking én niet langer worden bewaard dan nodig. Denk hierbij aan het ontwerpen van specifieke registratiesystemen.

Privacy by default houdt in dat alle technische en organisatorische maatregelen worden genomen zodat alléén persoonsgegevens worden verwerkt die nodig zijn voor het specifieke doel dat je wilt bereiken. In het kader van de registratie van ongevallen is het bijvoorbeeld niet van belang om ook standaard te registreren of de betreffende medewerker zich bijvoorbeeld een keer heeft ziekgemeld de afgelopen maanden.

Gegevensbeschermingsbeleid
Je moet kunnen laten zien dat je voldoet aan de AVG. Dit kan in de vorm van een gegevensbeschermingsbeleid wat ook privacybeleid wordt genoemd In dit beleid staat onder andere de volgende informatie:

  • Een omschrijving van de categorieën persoonsgegevens die worden verwerkt.
  • Een beschrijving van de doeleinden waarvoor persoonsgegevens worden verwerkt en wat de juridische grondslag daarvan is.
  • Hoe wordt voldaan aan de beginselen van verwerking van persoonsgegevens. Zoals de verplichting om niet meer gegevens te verwerken dan noodzakelijk.
  • Welke rechten betrokkenen hebben en hoe zij die rechten kunnen uitoefenen. Zoals het recht om een klacht in te dienen bij de Autoriteit Persoonsgegevens (AP). Maar ook het recht op inzage, wijzigen, wissen en het ontvangen van alle geregistreerde gegevens.
  • Welke organisatorische en technische maatregelen zijn genomen om de persoonsgegevens te beveiligen.
  • Hoe lang de persoonsgegevens worden bewaard.

Het opstellen van een gegevensbeschermings- of privacybeleid is niet altijd verplicht, maar wel erg handig in het kader van de verantwoordingsplicht. Als arboprofessional is het praktisch om na te gaan welk beleid er aanwezig is binnen de eigen organisatie zodat je hierop kunt meeliften.

Om te voldoen aan nieuwe regels moet dus goed nagedacht worden over hoe de organisatie persoonsgegevens verwerkt en beschermt. De verantwoordingsplicht houdt in dat aangetoond moet worden dat de verwerkingen aan de regels van de AVG voldoen. Er moet bijvoorbeeld aangetoond kunnen worden dat een verwerking aan de belangrijkste beginselen van verwerking voldoet, zoals:

  • Rechtmatigheid
  • Transparantie
  • Doelbinding
  • Juistheid

Ook moeten organisaties kunnen laten zien dat ze de juiste technische en organisatorische maatregelen hebben genomen om de persoonsgegevens te beschermen.

Beveiliging van gegevens
Het beveiligingsniveau moet zijn afgestemd op de risico’s die de gegevensverwerking met zich meebrengt. Bijvoorbeeld risico’s door ongeoorloofde toegang, vernietiging, verlies, wijziging of ongeoorloofde verwerking van persoonsgegevens. Of dat nu per ongeluk of doelbewust gebeurt. Je moet daarbij rekening houden met de volgende punten:

  • De stand van de techniek
  • De uitvoeringskosten
  • De aard, de omvang, de context en de verwerkingsdoeleinden van de verwerking
  • Hoe waarschijnlijk en ernstig het is voor de betrokken personen als er een beveiligingslek ontstaat

In het voorbeeld van de ongevallenregistratie houdt dit in dat niemand anders bij deze gegevens mag kunnen komen dan degene die iets moeten doen met deze gegevens. In relatie met het doel waarvoor de gegevens worden verzameld: het voorkomen van ongevallen.

Verantwoordingsplicht

Elke organisatie is verplicht om verantwoording af te leggen over de gegevensverwerkingen wanneer de Autoriteit Persoonsgegevens daar om vraagt. Dit betekent dat onder meer moet kunnen aangetoond worden dat er wordt voldaan aan alle regels uit de AVG die op de organisatie van toepassing zijn. Ook hiervoor geldt dat het belangrijk is dat je als arboprofessional aansluit bij het gegevensbeschermingsbeleid van de eigen organisatie.

Rechten van medewerkers

Een basisuitgangspunt van de AVG is dat mensen controle moeten kunnen uitoefenen op hun gegevens. In het kader van het werk als arboprofessional zal het voornamelijk gaan om persoonsgegevens van medewerkers. Deze hebben de volgende rechten:

  • Recht om in te zien
  • Recht om te wijzigen
  • Recht om vergeten te worden
  • Recht om gegevens over te dragen
  • Recht op informatie

Dit houdt in dat een arboprofessional moet nagaan of dit is geregeld voor de persoonsgegevens waar je gebruik van maakt. Ga hierover in gesprek gaan met de Functionaris Gegevensbescherming (FG) wanneer deze aanwezig is binnen de organisatie. Of anders bij degene die verantwoordelijk is voor het naleven van de AVG in de eigen organisatie.

De eerste stappen

De eerste stappen die je kunt nemen in dit kader is het in kaart brengen van de volgende zaken:

  • Wie is verantwoordelijk binnen de eigen organisatie voor het naleven van de AVG, is er een Functionaris Gegevensbescherming aangesteld?
  • Welke persoonsgegevens verzamel je met welk doel?
  • Wat is er al geregeld in de organisatie?
  • Wat moet er nog geregeld worden en wie gaat dat doen?

Toelichting op de zes grondslagen van de AVG
1. Toestemming van de betrokken persoon

Rechtsgeldige toestemming moet voldoen aan de volgende eisen:

Vrijelijk gegeven: Iemand mag niet onder druk worden gezet om toestemming te geven.

Ondubbelzinnig: Er moet sprake zijn van een duidelijke actieve handeling. Bijvoorbeeld een (digitale) schriftelijke of een mondelinge verklaring. Het moet in elk geval volstrekt helder zijn dát er toestemming is verleend. Je mag niet uit gaan van het principe ‘wie zwijgt, stemt toe’.

Geïnformeerd: Je moet mensen informeren over: de identiteit van de organisatie; het doel van elke verwerking waarvoor toestemming wordt gevraagd; welke persoonsgegevens er worden  verzameld en gebruikt; en het recht dat zij hebben om de toestemming weer in te trekken. Het moet voor mensen net zo makkelijk zijn om de toestemming weer in te trekken als dat het was om de toestemming te geven.

Er moet kunnen worden aangetoond dat er geldige toestemming is verkregen.

2. Uitvoering van een overeenkomst
Er mag op deze grondslag worden gebaseerd als er een overeenkomst is met iemand en hiervoor het verwerken van persoonsgegevens noodzakelijk is. De overeenkomst zelf mag niet gericht zijn op het verwerken van persoonsgegevens, maar moet een ander doel hebben.

3. Noodzakelijkheid
De verwerking van de persoonsgegevens moet noodzakelijk zijn om aan een wettelijke verplichting te voldoen. Het hoeft niet expliciet in de wet te staan dat er voor de uitvoering van een specifieke taak persoonsgegevens moet worden verwerken. Het is aan de arboprofessional om te bepalen of het verwerken van persoonsgegevens noodzakelijk is om aan de verplichting te voldoen. Zijn de persoonsgegevens echt noodzakelijk voor het nakomen van een wettelijke verplichting? Zorg ervoor dat je goed kunt onderbouwen dat er op deze grondslag mag worden gebaseerd. Onder de AVG geldt namelijk een verantwoordingsplicht.

4. Vitaal belang
Een vitaal belang is aan de orde als het over een belang gaat dat essentieel is voor iemands leven of gezondheid en jij die persoon niet om toestemming kunt vragen. Bijvoorbeeld wanneer er acuut gevaar dreigt maar iemand bewusteloos is of mentaal niet in staat is om toestemming te geven.

5. Algemeen belang of publieke taak
Alleen van toepassing als er een publieke taak wordt uitoefend voor het algemeen belang of openbaar gezag. Het gaat daarbij om taken die in de wet zijn vastgelegd en die relevant zijn voor de organisatie.

6. Gerechtvaardigde belangen
Je kunt je op deze grondslag baseren als er aan drie voorwaarden wordt voldaan:

1. Je hebt een gerechtvaardigd belang.
Het moet het gaan om een gerechtvaardigd belang. Dit belang moet rechtmatig, voldoende duidelijk verwoord en ook echt aanwezig zijn. Dat is zo wanneer een verwerking aantoonbaar noodzakelijk is om jouw bedrijfsactiviteiten te verrichten. Bijvoorbeeld het voeren van een personeelsadministratie.

2. De verwerking is noodzakelijk om dit gerechtvaardigde belang te behartigen.
De verwerking van de persoonsgegevens moet noodzakelijk zijn voor de behartiging van het gerechtvaardigde belang. Je moet de verwerking daarom toetsen aan de eisen van (1) proportionaliteit en (2) subsidiariteit. Dat betekent dat je moet nagaan of (1) het doel van de verwerking in verhouding staat tot de inbreuk voor de personen van wie je persoonsgegevens verwerkt en (2) of je het doel niet op een voor de betrokken personen minder nadelige manier kan bereiken.

3. Je hebt een afweging gemaakt tussen jouw belangen en die van de personen van wie je persoonsgegevens verwerkt.
Je moet een afweging maken tussen jouw belangen en de belangen van de personen van wie je persoonsgegevens verwerkt. Ook moet je hierbij eventueel maatregelen treffen om ervoor te zorgen dat de rechten en vrijheden van deze personen niet zwaarder wegen dan jouw gerechtvaardigd belang.
Dit betekent onder meer dat je de gegevens niet langer mag bewaren dan nodig is voor het doel van de verwerking.

Lees meer
In het artikel: 'De AVG is op komst. De belangrijke wijzigingen op een rij' staan de hoofdpunten van de nieuwe privacywetgeving (AVG).

Op de website van de Autoriteit Persoonsgegevens (AP) wordt de AVG in een notendop weergegeven. Dit document is een praktisch startpunt voor arboprofessionals. Zet eens op een rij welke persoonsgegevens of personeelsvolgsystemen er worden gebruikt. Denk hierbij bijvoorbeeld aan de registratie van ongevallen of de blootstelling aan kankerverwekkende stoffen. Of aan officiële waarschuwingen in het kader van het sanctiebeleid veilig werken.

Lees meer op overzichtspagina Preventie