In arbeidsrelaties brengt de Algemene Verordening Gegevensbescherming (AVG) voor werkgevers een aantal specifieke verplichtingen met zich mee.
Zo heeft de werkgever als verwerkingsverantwoordelijke op basis van de AVG diverse taken en verantwoordelijkheden zoals het:
- doen van een melding aan de Autoriteit Persoonsgegevens bij een datalek;
- opstellen en actueel houden van de registers van verwerkingsactiviteiten en van datalekken;
- nemen van passende technische en organisatorische maatregelen om te waarborgen; en
- kunnen aantonen dat de verwerking in overeenstemming met de AVG wordt uitgevoerd.
Schriftelijk vastleggen
Afspraken met en informatie aan het personeel omtrent de verwerking van hun persoonsgegevens moet
de werkgever schriftelijk doen, bijvoorbeeld in de arbeidsovereenkomst of een privacyprotocol. Daarin
omschrijft de werkgever hoe hij de persoonsgegevens gebruikt en bewaart en op welke grondslag(en), met toepassing van welke beginselen en met welke doeleinden dat gebeurt.
Interne vraagbaak
Verder moet de werkgever zelf de interne vraagbaak zijn omtrent de toepassing van de AVG of daartoe een privacymedewerker te benoemen.
Functionaris voor de Gegevensbescherming
Bepaalde specifieke werkgevers zijn verplicht om een interne of externe zogenoemde Functionaris voor de Gegevensbescherming (FG) te benoemen, zoals overheidsinstanties en organisaties die uitsluitend of grootschalig de verwerking van bijzondere persoonsgegevens als kernactiviteit hebben (zoals arbodiensten).
Register voor verwerkingsactiviteiten
Verder moet de werkgever, omdat hij regelmatig en bovendien bijzondere persoonsgegevens verwerkt, een register voor verwerkingsactiviteiten hebben en onderhouden. Daarin omschrijft hij op welke manier en in welke vormen persoonsgegevens worden verwerkt en bijvoorbeeld welke bewaartermijn hij daarbij hanteert.
Datalek
Daarnaast verplicht de AVG de werkgever om, mede in verband met zijn meldplicht datalekken, een datalekkenregister te hebben. Van een datalek is sprake als er iets met een (set) persoonsgegeven(s) gebeurt dat in strijd met de AVG of de belangen van betrokken schaadt of kan schaden.
Dat is of kan aan de orde zijn wanneer persoonsgegevens bij derden terecht (kunnen) komen bij bijvoorbeeld verlies van een niet of onvoldoende USB-stick, telefoon of laptop met daarop (veel) persoonsgegevens of bij van een (onethische) hack in het computersysteem van de werkgever.
AVG-bewustzijn
Niet onbelangrijk en in die zin verplicht voor de werkgever is dan dus ook AVG-bewustzijn bij de medewerkers. Want bijvoorbeeld het in elk geval intern en zo nodig bij de Autoriteit Persoonsgegevens (AP) melden van een datalek veronderstelt kennis bij de medewerkers van (omgaan met) persoonsgegevens en hoe en waar een melding te doen bij een incident, wat ook een onjuist verstuurde mail kan zijn, een mail met de verkeerde bijlage of het bedoeld of onbedoeld meekijken van een onbevoegde collega op het computerscherm van de ziekteverzuimmedewerker.
Lees meer bij Salaris Vanmorgen in het dossier Algemene Verordening gegevensbescherming en werk, geschreven door mr. Frank Troost.