Vanaf 25 mei 2018 geldt er nog maar één privacywet in de hele EU, in plaats van 28 verschillende nationale wetten. De Wbp (Wet bescherming persoonsgegevens) maakt plaats voor een Europese privacyverordening, de ‘Algemene Verordening Gegevensbescherming’ (AVG).
|
De nieuwe wet zorgt onder meer voor versterking en uitbreiding van privacyrechten van burgers, meer verantwoordelijkheden voor organisaties die persoonsgegevens verwerken en meer bevoegdheden voor alle Europese privacy toezichthouders. Veel organisaties zijn nu bezig om te kunnen voldoen aan de AVG. Het is voor de ondernemingsraad belangrijk om te bewaken hoe dit gaat. |
Belangrijkste punten bij invoering AVG voor de ondernemingsraad:
-
Aanstellen privacy officer (PO) of functionaris gegevensbescherming
Niet alle organisaties hoeven een privacy officer aan te stellen, maar voor een aantal wordt dat met de AVG wel verplicht. Denk aan overheidsinstanties en ook voor organisaties die stelselmatig op grote schaal personen observeren of persoonsgegevens bewerken (bijvoorbeeld strafrechtelijke of medische gegevens). De OR kan een rol spelen bij het aanstellen van de PO. De OR krijgt met de nieuwe Arbowetgeving (1 juli 2017) instemmingsrecht bij het aanstellen van de preventiemedewerker en zou bij het aanstellen van de PO dit recht als precedentwerking kunnen aanvoeren.
-
Meldplicht datalekken
De meldplicht zoals deze nu ook al geldt bij datalekken wordt uitgebreid met de verplichting om het datalek ook aan de verantwoordelijke te melden. Nu hoeft er alleen een melding gedaan te worden bij de toezichthouder.
-
Privacy Impact Assessment (PIA) uitvoeren
Wanneer het verwerken van persoonsgegevens, in het bijzonder met behulp van nieuwe technologieën, risico’s voor betrokkenen inhoudt, is het uitvoeren van een PIA verplicht. Een PIA is in ieder geval verplicht bij grootschalige verwerking van persoonsgegevens of monitoring van openbare ruimte.
-
Verplicht bijhouden van een register
Iedere organisatie met in ieder geval meer dan 250 medewerkers wordt verplicht een schriftelijk of elektronisch register bij te houden, waarin alle activiteiten worden omschreven waarbij persoonsgegevens worden verwerkt. Hierin wordt onder andere het volgende opgenomen: contactgegevens, doeleinden van de gegevensverwerking, beschrijving van categorieën van betrokkenen, ontvangers van de gegevens, beschrijving van beveiligingsmaatregelen en de beoogde bewaartermijnen.
Bij de laatste twee genoemde punten (PIA en register) is het van belang dat de OR vroegtijdig betrokken wordt. De ondernemingsraad heeft immers bevoegdheden bij de invoering van nieuwe technologieën om persoonsgegevens te verwerken: artikel 27 lid 1 k (regeling verwerken en bescherming persoonsgegevens) en mogelijk artikel 27 1 l (regeling inzake voorzieningen die gericht zijn voor waarneming en controle).
Volgens de officiële publicaties van de AVG geldt er een overgangstermijn van twee jaar. Naar verwachting zullen bovenstaande punten een behoorlijke impact hebben op organisaties. Als dit onderwerp nog niet op de agenda van de overlegvergadering staat, wordt dat misschien wel eens tijd. Ook het implementeren van de punten zal behoorlijk wat tijd in beslag nemen.
Bron: ICTrecht