26 april 2018

Medezeggenschapsrecht Privacy & de OR: Wat moet u als OR-lid weten over de AVG

Op 25 mei a.s. wordt de Algemene Verordening Gegevensbescherming (“AVG”) rechtstreeks van toepassing in alle lidstaten van de Europese Unie. Dit betekent dat de AVG per diezelfde datum ook van toepassing wordt op het Nederlandse bedrijfsleven. Organisaties zullen dan ook voor zover mogelijk “AVG-proof” moeten zijn om hoge boetes van de Autoriteit Persoonsgegevens (“AP”) te voorkomen (boetes tot maximaal EUR 20 miljoen of 4% van de wereldwijde jaaromzet). Ondanks de enorme druk van de AP om de privacyregels op tijd op orde te hebben, zijn veel organisaties nog niet klaar voor de AVG, zo kopte de NRC op 19 april jl. Het is dan ook zaak dat het onderwerp privacy bij organisaties hoog op de agenda staat. In deel I van deze blog zal de AVG op hoofdlijnen besproken worden. Daarbij zal met name aandacht besteed worden aan de introductie van de zogenaamde “verantwoordingsplicht” en de nieuwe verplichtingen voor organisaties in het kader van de AVG. Vervolgens zal in deel II de rol van de OR in het kader van de implementatie van de AVG aan bod komen.

Nieuwe verplichtingen onder de AVG

De AVG zal de plaats innemen van de nu geldende Wet bescherming persoonsgegevens (“Wbp”). De AVG vertoont veel overeenkomsten met de Wbp, maar is net anders ingestoken. De AVG bepaalt namelijk dat organisaties niet alleen moeten waarborgen dat de verplichtingen uit de verordening worden nageleefd. Zij zullen ook moeten aantonen hoe en op welke wijze dit gebeurt. Deze verantwoordingsplicht (accountability) speelt een belangrijke rol binnen de AVG.

Als gevolg van de AVG zullen organisaties dan ook kritisch naar alle afdelingen, disciplines en werkprocessen moeten kijken en zich in dat verband moeten afvragen waar en hoe persoonsgegevens worden verwerkt en of de verwerking in overeenstemming met de AVG plaatsvindt.

Vervolgens zal moeten worden nagaan wat van hen verwacht wordt in het kader van de verantwoordingsplicht. Meer in het bijzonder: welke nieuwe verplichtingen op de organisatie van toepassing worden. Daarbij moet onder meer gedacht worden aan de registerplicht. Op grond van deze verplichting moeten organisaties een register bijhouden dat inzicht verschaft in de verwerkingsactiviteiten door middel van een beschrijving van onder meer de categorieën persoonsgegevens die verwerkt worden. In dit register worden persoonsgegevens dus niet daadwerkelijk verwerkt.

Daarnaast verplicht de AVG in een aantal gevallen tot instelling van een functionaris voor de gegevensbescherming (“FG”, Data Protection Officer). De FG adviseert over de toepassing van de AVG en is tevens belast met het interne toezicht op de naleving daarvan. De FG acteert bovendien als aanspreekpunt voor de personen van wie gegevens worden verwerkt. De AVG verplicht in een aantal gevallen tot de aanstelling van een FG. Dit is onder meer het geval voor overheidsinstanties en overheidsorganen. Daarnaast kan gedacht kan worden aan ziekenhuizen (waarbij de verwerking van gegevens over de gezondheid een kernactiviteit van de organisatie vormt) en onderzoekinstellingen die gebruik maken van gezondheidsgegevens. Als de ondernemer op grond van de AVG niet verplicht wordt tot de instelling van een FG, kan hij daartoe uiteraard ook vrijwillig overgaan.

In de AVG wordt verder verwezen naar (onder meer) de verplichting tot het uitvoeren van een gegevensbeschermingseffectbeoordeling (Data Protection Impact Assessment), een voorafgaande raadpleging bij de AP, het te volgen beginsel van privacy door ontwerp en privacy door standaardinstellingen (privacy by design en privacy by default), eisen in het kader van systeembeveiliging en de meldplicht datalekken.

AVG & de OR

Gezien het voorgaande zijn veel organisaties druk bezig met een inventarisatie- en implementatieproces en het (her)schrijven van beleid en regelingen. Zo ook HR-afdelingen, aangezien zij in verband met de arbeidsrelatie op grote schaal persoonsgegevens verwerken. In het kader van de AVG is het de vraag of en zo ja, op welke wijze de OR bij de implementatie van de verordening zal moeten worden betrokken. In deel II van deze blog zullen wij nader op deze vraag ingaan. Daarbij zal aandacht besteed worden aan enerzijds het informatie- en initiatiefrecht en anderzijds het advies- en instemmingsrecht van de OR.

Mocht u in de tussentijd vragen hebben over de privacy en de OR, dan wel medezeggenschapsrechtelijke kwesties in het algemeen, dan kunt u contact opnemen met Carola Meyer-de Swaan. Voor vragen over de privacy en de AVG kunt u contact opnemen met Danny Vesters.