Aftellen naar de inwerkingtreding van de AVG

Het is inmiddels 2018 en het aftellen naar 25 mei wordt nu echt aan alle kanten zichtbaar. Omdat de AVG een verordening is die rechtstreeks in de nationale lidstaten doorwerkt, is vertaling van de AVG in de Nederlandse wet niet nodig. Toch geeft de AVG op verschillende punten ruimte om een nationale uitvoering te geven aan de AVG.

Hiervoor heeft de Nederlandse regering op 13 december 2017 het wetsvoorstel voor de Uitvoeringswet AVG bij de Tweede Kamer neergelegd. Deze zal met de AVG in werking treden en ervoor zorgen dat daar waar nodig de AVG middels Nederlandse wetgeving wordt uitgevoerd.

Beleidsneutrale invoering van de AVG

Voor de toepassing van de nieuwe privacyregelgeving in Nederland zullen de AVG en de Uitvoeringswet dus samen bezien moeten worden. Belangrijk is dat de Nederlandse regering ervoor heeft gekozen om de AVG “beleidsneutraal” in te voeren. De regering kiest er met andere woorden met de Uitvoeringswet voor om ervoor te zorgen dat er niet (nog) meer wijzigt voor verwerkingsverantwoordelijken, verwerkers en betrokkenen dan strikt noodzakelijk is op grond van de AVG. Waar mogelijk zijn dan ook bepalingen uit de huidige Wet bescherming persoonsgegevens overgenomen.

Afgezien van het feit dat u met de komst van de AVG nu echt aantoonbaar moet voldoen aan privacyregelgeving en dus moet zorgen voor een privacybeleid dat goed geborgd is in uw organisatie, legt de Nederlandse Uitvoeringswet geen zwaardere inhoudelijke eisen aan organisaties op. Hoewel dit een prettig uitgangspunt is waarvoor de Nederlandse regering heeft gekozen, zal het voor veel organisaties nog een hele toer zijn om ervoor te zorgen dat zij op een toekomstbestendige manier om kunnen gaan met de uitdagingen die de bescherming van de privacy van hen vraagt.

Invulling van AVG met de Uitvoeringswet

Buiten de algemene maatregelen die u op grond van de AVG zult moeten nemen, zoals het nemen van passende beveiligingsmaatregelen, het inrichten van een register van verwerkingsactiviteiten of de aanstelling van een Functionaris Gegevensbescherming, ziet de invulling van de AVG met de Uitvoeringswet op een aantal belangrijke onderwerpen die de verwerking van persoonsgegevens in uw organisatie raken, er als volgt uit:

1.      Verwerking van bijzondere persoonsgegevens

Waar het gaat om de verwerking van gegevens betreffende de gezondheid als bijzonder persoonsgegeven, zoals gedefinieerd in de AVG, kiest de wetgever voor een neutrale uitvoering. De verwerking van gegevens betreffende de gezondheid blijft dus vooral onderworpen aan Nederlandse wetgeving die ook nu al van kracht is. Daar zult u de noodzakelijke grondslag en verantwoording in moeten vinden voor de verwerking van deze gegevens. In een volgende publicatie zullen wij hierop specifiek ingaan.

In afwijking van de huidige Wbp zien we verder dat

–         de verwerking van strafrechtelijke gegevens niet zijn opgenomen in de opsomming van bijzondere persoonsgegevens, maar in een afzonderlijke paragraaf van de AVG zijn geregeld en

–         genetische gegevens en biometrische gegevens die worden verwerkt met het oog op de unieke identificatie van een persoon als nieuwe categorieën bijzondere persoonsgegevens worden geïntroduceerd.

2.      Verwerking BSN

In afwijking van de Wbp is het BSN met de komst van de AVG niet langer een met name genoemd bijzonder persoonsgegeven. Wel geeft de AVG voor de verwerking van het BSN aan de nationale lidstaten de mogelijkheid voor het stellen van nationale regels.

Met de Uitvoeringswet is hieraan als volgt invulling gegeven:

Verwerking van het BSN mag alleen indien dat in de wet is voorgeschreven.

Dat betekent dat alle verwerkingen van het BSN voor een doel dat niet is voorgeschreven op basis van de wet niet is toegestaan.

Voor de overheid geldt hier de Wet algemene bepalingen burgerservicenummer (Wabb) als wettelijke grondslag voor de verwerking van het BSN. Voor de zorgsector geldt de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg (voorheen was dat de Wet gebruik BSN in de zorg). Zorgaanbieders mogen het BSN dus uitsluitend verwerken voor zover dat is voorgeschreven in deze wet. Zo is bijvoorbeeld de vermelding van het BSN op een factuur die naar de zorgverzekeraar gaat, toegestaan aangezien in de wet is voorgeschreven dat de zorgverzekeraar het BSN gebruikt voor de identificatie van de persoon wiens zorg zij vergoedt.

Natuurlijk komt het in de praktijk voor dat de wens bestaat om het BSN nog voor andere doeleinden te gebruiken dan ter uitvoering van de wet waarin is voorgeschreven dat het BSN moet worden verwerkt. Dit zogenaamde “voortgezette gebruik” van het BSN is toegestaan, mits is voldaan aan 2 voorwaarden:

1.      er moet voldaan zijn aan het algemene vereiste dat persoonsgegevens alleen verder mogen worden verwerkt als dat verenigbaar is met het doel waarvoor die persoonsgegevens zijn verkregen en

2.      verwerking van het BSN voor andere doeleinden dan ter uitvoering van de betreffende wet is alleen mogelijk voor zover dat ook in die wet is bepaald.

De wetgever heeft deze tweede eis gesteld omdat de verwerking van het BSN een groot risico op identiteitsfraude met zich brengt. De verwerking van het BSN dient daarom altijd een basis te hebben in de wet.

3.      Gegevensverwerking in het kader van de arbeidsverhouding

Verwerking van persoonsgegevens binnen de arbeidsverhouding is in het Nederlands recht niet afzonderlijk geregeld. De ruimte die de AVG geeft om op dit terrein nadere regels te stellen, heeft de Nederlandse wetgever niet verder ingevuld. Dat betekent dat de verwerking van persoonsgegevens in het kader van

1.      de werving van personeel;

2.      de uitvoering van de arbeidsovereenkomst en

3.      de beëindiging van de arbeidsverhouding

binnen het huidige arbeidsrechtelijke kader en volgens de algemene regels van de AVG zal moeten worden getoetst. Bij de invulling hiervan spelen de normen van goed werkgeverschap en goed werknemerschap een belangrijke rol. Ook het feit dat sprake is van een vorm van machtsrelatie in de verhouding werkgever – werknemer zal moeten worden meegenomen in de beoordeling van de belangen van de werkgever om gegevens van werknemers te verwerken voor een doel waarbij de werkgever stelt een gerechtvaardigd belang te hebben.

De uitdaging bij dit onderwerp is dat ook op de werkvloer diverse vormen van technologische ontwikkelingen zijn terug te vinden. Hoe bijvoorbeeld om te gaan met het principe van “bring your own device”, het afstruinen van het internet door recruiters op zoek naar informatie over mogelijke kandidaten of het aansluiten met je mailadres op een door de werkgever voorgeschreven communicatieplatform? Hou er bijvoorbeeld ook rekening mee dat het gebruik van persoonsgegevens van uw medewerkers enkel op grond van toestemming waarschijnlijk niet door de beugel kan. Het geven van toestemming is aan duidelijke in de AVG voorgeschreven randvoorwaarden gebonden. Het is bijvoorbeeld de vraag of die toestemming van een medewerker wel in vrijheid is gegeven, zoals de AVG vereist, en niet onder druk van de machtsrelatie die er is vanuit de werkgever.

De WP29 heeft aan dit punt richting gegeven in haar Opinie. In onze publicatie “Privacy op de werkvloer” zullen wij hier verder op ingaan.

Verdere invulling privacyregelgeving

Het is bekend dat op de diverse onderwerpen uit de AVG bij organisaties en betrokkenen grote behoefte bestaat aan een nadere invulling en concretisering. De overheid, maar ook de Autoriteit Persoonsgegevens en de Europese werkgroep van privacy experts (de article 29 Working Party of WP29) geven hier invulling aan door het uitgeven van richtsnoeren en opinies. Bij de invulling van de maatregelen die organisaties nemen, geven deze documenten duidelijke handvatten. De komende tijd zullen wij u aan de hand van de nieuwe regelgeving en de daarbij gepubliceerde richtsnoeren meenemen door het woud aan privacyregelgeving en de uitleg hiervan.

Risico’s

Om te zorgen voor een goed geborgd privacybeleid in uw organisatie is het van belang dat u werkt volgens een risico gebaseerd plan. Incidenten wachten echter helaas niet op een uitgevoerd plan of het nemen van minimale maatregelen. Daarom zal onze eerstvolgende bijdrage gaan over het risicomanagement rondom datalekken. Binnenkort dan ook onder meer te verwachten:

–         Hoe ga ik om met het risico van een datalek?

–         Wat betekent de inrichting van een register van verwerkingactiviteiten voor uw organisatie?

–         Hoe zit het met de verwerking van gegevens betreffende de gezondheid?

–         Wat te doen met een Functionaris Gegevensbescherming?

–         Wat vraagt “accountability” van uw organisatie?

–         Hoe zit het met privacy op de werkvloer?

Training en workshops

Wilt u weten welke minimale maatregelen u moet nemen in het kader van de implementatie van de AVG?

Woon dan de door ons verzorgde workshop Minimale noodzakelijke maatregelen voor AVG compliance bij op het Actualiteitencongres AVG Countdown van IIR.

Of neem contact met ons op en vraag naar de mogelijkheden voor een incompany training of executive waarin we met u bespreken hoe het verder moet met privacy in uw organisatie.

Marieke van Dijk

Business Line Manager Legal | Legal Counsel

©2018 Cure4 |

Werken bij Cure4 | Disclaimer | Privacy Statement | Over Cure4 | Aanmelden Nieuwsbrief
Contact