Op 25 mei 2018 is het zover, de belangrijkste wijziging van het Europese privacyrecht sinds 1995 wordt van kracht. Dan wordt de Algemene Verordening Gegevensbescherming (AVG) van toepassing, alsmede de Nederlandse Uitvoeringswet [1]. De Wet bescherming persoonsgegevens (Wbp) en het Vrijstellingsbesluit Wbp zullen dan worden ingetrokken en niet langer van toepassing zijn.
Inmiddels is veel gezegd en geschreven door advocaten over de AVG. Nagenoeg iedereen is wel ‘privacy-expert’ of heeft een idee hoe het zit met de nieuwe regels en wat organisaties ermee moeten gaan doen. Maar biedt alle informatie, die inmiddels beschikbaar is over de AVG, voldoende handvatten voor cliënten om de AVG en, met name de uitvoering ervan behapbaarder te maken? De AVG vereist immers voortvarend handelen van organisaties. Worden nieuwe regels niet, niet tijdig of onjuist geïmplementeerd dan zijn de gevolgen van non-compliance groter dan onder het huidige privacyrecht. Advocaten kunnen (en dienen) dan ook een belangrijke rol spelen bij implementatie van de AVG.
Uitgangspunten ongewijzigd
Privacy is een grondrecht: ieder heeft, behoudens bij of krachtens de wet te stellen beperkingen, recht op eerbiediging van zijn of haar persoonlijke levenssfeer. Ook een werknemer heeft recht op een zekere eerbiediging van zijn of haar persoonlijke levenssfeer op de werkvloer. Recht op privacy is vastgelegd in de Grondwet en Europese verdragen. En via het beginsel van ‘goed werkgeverschap’ werken privacyrechten door in het Nederlandse arbeidsrecht. En de Wbp bevat concrete normen voor de manier waarop persoonsgegevens van werknemers mogen worden verwerkt.
Advocaten lichten hun cliënten voor en adviseren hen ten aanzien van deze algemene en concrete privacynormen en hoe het een en ander toepasbaar is in de dagelijkse praktijk op de werkvloer. Het is dan een logische volgende stap dat advocaten hun cliënten voorlichten over wat van hen wordt verwacht onder de AVG, hoe de nieuwe regels dienen te worden in en -uitgevoerd en wat de impact zal zijn op de dagelijkse gang van zaken op de werkvloer.
Kernbegrippen privacy
Startpunt voor invoering van de AVG is dat de basisbeginselen van persoonsgegevensbescherming in de kern ongewijzigd blijven. De AVG bevat geen (grote) materiële veranderingen in hoe ondernemingen en organisaties persoonsgegevens moeten beschermen. Simpel gezegd: als je niet voldoet onder de huidige privacywetgeving, dan voldoe je ook niet onder de AVG en de Uitvoeringswet AVG. Omgekeerd is het helaas minder simpel. Als je als onderneming of organisatie wel voldoet aan de vereisten van de huidige privacy-wetgeving, is het geen gegeven dat je ook compliant zult zijn onder de AVG en de Uitvoeringswet AVG.
Allereerst is het van belang dat binnen het privacyrecht een aantal kernbegrippen centraal staat: Voor cliënten is het daarbij in het kader van de AVG relevant dat er geen wezenlijk verschil lijkt te zijn tussen de definitie van ‘persoonsgegevens’ zoals opgenomen in de Wbp [2] en de AVG [3]. De activiteiten van organisaties zullen echter veel sneller onder de nieuwe privacywetgeving vallen, omdat naast bestanden met namen, adressen e.d. ook gegevens gekoppeld aan bijvoorbeeld IP-adressen, MAC-adressen en cookies worden gevat onder ‘persoonsgegevens’. Ook de scope van bijzondere persoonsgegevens wordt uitgebreid met biometrische gegevens, voor zover zij verwerkt worden met het oog op unieke identificatie van een persoon. Biometrische gegevens zijn onder meer vingerafdrukken, stem, handschrift, geometrie van de handomtrek en scans van netvlies, iris en gelaat.
Uitgangspunten voor gegevensbescherming
Ook de algemene uitgangspunten voor persoonsgegevensbescherming blijven onder de AVG in essentie onveranderd. Zo moet bij iedere verwerking van persoonsgegevens (nog) steeds worden voldaan aan de zogenaamde beginselen van proportionaliteit en subsidiariteit. Deze beginselen houden kort gezegd in dat de verantwoordelijke (de werkgever), op basis van de bij hem bekende gegevens, steeds een belangenafweging moet maken tussen het eigen belang om persoonsgegevens te verwerken en dat van recht op privacy van de betrokkene (de werknemer). Daarbij mag de inbreuk op de belangen van de bij de verwerking van persoonsgegevens van de werknemer niet onevenredig zijn in verhouding tot het met de verwerking te dienen doel (proportionaliteitsbeginsel). Tevens mag het doel waarvoor de persoonsgegevens worden verwerkt, in redelijkheid niet op een andere, voor de bij de verwerking van persoonsgegevens van de werknemer minder nadelige wijze kunnen worden verwerkelijkt (subsidiariteitsbeginsel). Anders gezegd: Kan verwerking alleen op deze manier of kan het ook op minder nadelige wijze? De toets zal wederom en voortdurend moeten plaatsvinden in het kader van implementatie van de nieuwe regels uit de AVG en worden ingevoerd in het ontwerp van de organisatie en werkprocessen die toezien op verwerking van persoonsgegevens. Met het van toepassing worden van de AVG moeten organisaties gaan voldoen aan het principe van ‘privacy by design’. Dit houdt in dat organisaties al tijdens de ontwikkeling van producten en diensten aandacht moeten besteden aan zogenoemde privacyverhogende maatregelen; privacy enhancing technologies (PET) genoemd. Ook moeten organisaties alleen die gegevens verwerken die noodzakelijk zijn voor het doel van de verwerking, de zogenoemde dataminimalisatie.
Grondslagen voor verwerking
Want ook dat blijft onder de AVG hetzelfde. De werkgever moet een doel hebben voor verwerking alsmede moet de verwerking gebaseerd zijn op een van de zes wettelijke grondslagen:
Toestemming van de betrokkene;
noodzakelijk voor precontractuele maatregelen of uitvoering overeenkomst;
noodzakelijk voor nakoming wettelijke verplichting;
noodzakelijk ter vrijwaring vitaal belang betrokkene;
noodzakelijk voor uitvoering publieke taak en/of;
noodzakelijk voor behartiging gerechtvaardigd belang.
Uitbreiding rechten werknemer, plichten werkgever en bevoegdheden toezichthouder
Er kan dan ook worden gezegd dat de AVG voortbouwt op de Wbp. Maar wat verandert er dan wel? Wat er verandert is – kort gezegd – dat de rechten van de betrokkenen (de werknemers) worden versterkt, de (admini-stratieve) verplichtingen van de verantwoordelijke (de werkgever) worden uitgebreid en de Autoriteit Persoonsgegevens meer en zwaardere bevoegdheden van de toezichthouder krijgt. Binnen het huidige wettelijke privacykader is sprake van een gedeelde verantwoordelijkheid voor de bescherming van persoonsge-gevens, te weten door de Autoriteit Persoonsgegevens en de verantwoordelijke werkgever. Voor de arbeidsrelatie ligt de verantwoordelijkheid voor de verwerking van persoonsgegevens van werknemers aldus bij de werkgever die persoonsgegevens van zijn werknemers verwerkt en registreert. Deze registratie dient de werkgever vervolgens te melden aan de toezichthouder.
Accountability
Na invoering van de AVG komt die verplichting om gegevensverwerkingen te melden bij de toezichthouder te vervallen. En de verantwoordelijkheid voor de bescherming van die werknemerspersoonsgegevens komt meer dan voorheen te liggen bij de werkgever, de zogenoemde ‘accountability’. Duidelijk is dat de strengere privacyregels gevolgen zullen hebben voor de dagelijkse praktijk op de werkvloer. Voor uitvoering van de arbeidsovereenkomst worden immers veel persoonsgegevens van werknemers verwerkt. Dat kan gaan om contactgegevens, gegevens over aanspraken of gevoelige gegevens, zoals het BSN of omtrent de gezondheid. Als verantwoordelijke voor de gegevensverwerking in de zin van de Wbp – en vanaf 25 mei 2018 de AVG – moeten werkgevers zich aan die strikte(re) regels gaan houden bij het verwerken van persoonsgegevens van hun werknemers.
Werkgevers doen er goed aan zich te realiseren dat zij, na het van toepassing worden van de AVG, op basis van die accountability of verantwoordingsplicht moeten kunnen aantonen dat zij afdoende technische en organi-satorische maatregelen hebben getroffen om ervoor te zorgen dat zij voldoen aan de AVG. Dat kunnen zij mede doen door een register van verwerkingen aan te leggen en het uitvoeren van een zogenaamde Privacy Impact Assessment (PIA).
Documentatieplicht: het register van verwerkingen
De documentatieplicht houdt in dat elke verantwoordelijke (werkgever) en bewerker (bijvoorbeeld een extern salarisadministratiekantoor) verplicht zijn om een register van verwerkingsactiviteiten bij te houden. Dit register ziet toe op alle verwerkingen die ze uitvoeren. Afhankelijk van de omvang van de organisatie en het type gegevens dat wordt verwerkt, kan de documentatieplicht worden gezien als een aanzienlijke verruiming van die verplichting voor werkgevers. In ieder geval dienen organisaties met meer dan 250 medewerkers een verwerkingsregister van hun verwerkingen van persoonsgegevens bij te houden.
Bij organisaties met minder dan 250 medewerkers geldt dat zij over een verwerkingsregister moeten beschikken wanneer zij persoonsgegevens verwerken:
Die een hoog risico inhouden voor de rechten en vrijheden van de personen van wie zij persoonsgegevens verwerken en/of;
waarvan de verwerking niet incidenteel is en/of;
die vallen onder de categorie bijzondere persoonsgegevens, zoals gegevens over godsdienst, gezondheid en politieke voorkeur of strafrechtelijke gegevens.
Het verwerkingsregister moet kunnen worden verstrekt wanneer de Autoriteit Persoonsgegevens daar om vraagt. Ter verduidelijking, er bestaat reeds onder de Wbp een verplichting om bepaalde verwerkingen te registeren (te loggen). Bijvoorbeeld, er moet nu al worden gelogd wie toegang heeft gehad tot de persoonsgegevens die organisaties verwerken. Dat verandert in die zin dat onder de AVG een en ander (ook) centraal moet worden geregistreerd in het verwerkingsregister.
Rechten van betrokkenen
Maar ook andere plichten zijn strenger geworden. Of beter gezegd: rechten van betrokkenen (werknemers) zijn verruimd. Zo wordt het recht op inzage fors uitgebreid. Naast bijvoorbeeld informatie over welke persoonsgege-vens worden verwerkt en wat het doel is van gebruik, moet op grond van de AVG straks ook desgevraagd inzage worden gegeven in bijvoorbeeld de functionaris gegevensbescherming (FG) en organisaties die namens werkgever persoonsgegevens verwerken, zoals de arbodienst, payrolling organisaties en de bewaartermijnen van persoonsgegevens. Een andere uitbreiding van rechten betreft het recht op dataportabiliteit. Dit houdt onder andere in dat de door werknemers verzochte gegevens beschikbaar moeten worden gesteld in een vorm die het makkelijk maakt om gegevens te hergebruiken en door te geven aan een andere organisatie. Ook het recht op vergetelheid wordt ruimer. Het recht zal niet meer – zoals op basis van de Wbp – beperkt zijn tot het verwijderen van objectief onjuiste gegevens, onvolledige gegevens of niet ter zake doende gegevens. Het recht op vergetelheid zal ook van toepassing zijn wanneer toestemming voor verwerking is ingetrokken, verwerking onrechtmatig geschiedt en de bewaartermijn is verstreken.
Bevoegdheden toezichthouder
Tenslotte zullen ook de gevolgen van non-compliance met de AVG groter worden. Hiermee hand in hand gaat de veranderende rol van de toezichthouder aan wie door de AVG meer bevoegdheden zal worden toegekend. Dit houdt in: geen toezichthouder meer, maar een waakhond met de mogelijkheid om hogere boetes op te leggen (maximaal € 20 miljoen, of 4% van de wereldwijde jaarlijkse omzet). Ook wordt de ‘one stop shopregel’ geïntroduceerd, die het mogelijk maakt voor verantwoordelijken om bij grensoverschrijdende verwerkingen zaken te doen met maar één ‘leidende toezichthouder’. De hoofdregel zal zijn dat de toezichthouder van de EU-lidstaat waar de hoofdvestiging van een organisatie is gevestigd, de leidende toezichthouder is. Maar de nationale toezichthouder behoudt bij specifieke lokale verwerkingen met betrokkenen uit een EU-lidstaat zijn autoriteit.
Geen nadere regels arbeidsverhouding
Slotsom is dat, hoewel rechten van betrokkenen (werknemers) zijn verruimd en daarmee de verplichtingen van werkgevers zijn toegenomen, privacy in arbeidsverhoudingen er niet eenvoudiger of duidelijker op is geworden. Dit hangt mede samen met de omstandigheid dat de Nederlandse wetgever geen gebruik heeft gemaakt van het recht om nadere regels te stellen in het kader van de arbeidsverhouding. Dit recht houdt in dat het EU-lidstaten is toegestaan nadere regels te stellen, in het bijzonder met het oog op: Aanwerving Uitvoering van de arbeids-overeenkomst Gelijkheid en diversiteit op het werk, Gezondheid en veiligheid Bescherming van eigendom Beëindiging van de arbeidsovereenkomst [4].
De norm voor arbeidsverhoudingen zal dan ook niet nader worden ingevuld. Desalniettemin blijven de normen en juridische kaders voor privacy in arbeidsverhoudingen, zoals vastgelegd in Europese en Nederlandse wetge-ving van kracht. Een gemiste kans.
Implementatie AVG: rol van de advocaat
Privacycyclus werknemer
De rol van de advocaat bij invoering van de AVG is zijn of haar cliënten bij te staan om compliant met de AVG te zijn (en te blijven) wat betreft de bescherming van persoonsgegevens. Vanuit het arbeidsrecht bezien is het aan te raden om – samen met of voor de werkgever – inzichtelijk te krijgen wat de verschillende privacygevoelige stadia van een dienstverband zijn om zo te zorgen voor een sterk fundament voor de bescherming van de persoonsgegevens van werknemers. Een dergelijk ‘privacyfundament’ kan dan vervolgens als basis dienen, waarmee ondernemers (en ondernemingsraden) waarborgen dat de organisatie compliant is met de nieuwe privacywetgeving. Er zijn al veel hulpmiddelen beschikbaar om zo’n privacyfundament op te stellen. Bijvoorbeeld aan de hand van vragenlijsten, model verwerkingsregisters en andere AVG-tools waarmee ondernemers kunnen vaststellen of de organisatie compliant is met de AVG, het ‘goed werkgeverschap’ én de Wet op de ondernemingsraden.
Rol ondernemingsraad: hoeder van privacy
Het is de wettelijke plicht van organisaties om persoonsgegevens te beschermen en de bescherming van persoonsgegevens onderdeel te laten uitmaken van maatschappelijk verantwoord ondernemen. Maar met het oog op de inwerkingtreding van de AVG, is het eveneens zeer aan te raden dat niet alleen werkgevers maar ook ondernemingsraden zich bewuster worden van hun (gezamenlijke) rechten én plichten als hoeders van de privacy van werknemers.
Dat werkgevers en ondernemingsraden zich te weinig realiseren hoe belangrijk privacy is, blijkt uit een recente uitspraak over het gebruik van voornamen van werknemers in een klanttevredenheidsenquêteregeling, waarmee Apple zijn werknemers beoordeelt. Hoewel de ondernemingsraad vanwege een vormfout (overschrijding van de bezwaartermijn) in het ongelijk wordt gesteld, is de rechter het wel eens met de ondernemingsraad dat Apple voor het gebruik van voornamen in de enquête de toestemming van de ondernemingsraad had moeten vragen. Bovendien geeft de rechter – gelijk het advies hiertoe van de Autoriteit Persoonsgegevens – Apple en de ondernemingsraad in overweging alsnog te onderzoeken of door het gebruik van voornamen in die klanttevredenheidsenquête de privacy van werknemers in het geding komt, het gesprek hierover met elkaar aan te gaan en de uitkomsten voor te leggen aan een bindend adviseur of kantonrechter.
Kortom, door als werkgever op basis van artikel 27 van de Wet op de ondernemingsraden de ondernemingsraad te betrekken bij regelingen voor het verwerken van persoonsgegevens en het gebruik van personeelsvolg-systemen, wordt de ondernemingsraad in staat gesteld zijn rol bij het waarborgen van het privacyrecht van werknemers te vervullen.
AVG implementatie
De advocaat kan zijn of haar cliënten de volgende concrete actiepunten aanreiken om implementatie van de AVG behapbaarder te maken:
Stel een verwerkingsregister op.
Check huidige regelingen gericht op verwerking van persoonsgegevens en maak ze AVG-compliant.
Indien nodig: wijzig of implementeer nieuwe regelingen met de OR.
Zorg voor AVG-bewustwording in de organisatie & doorwerking in de cultuur en werkprocessen.
De implementatie van de AVG begint bij het in stelling brengen van een goede governance en infrastructuur. Invoering van het al genoemde register voor verwerkingen zal cruciaal zijn. Per verwerking zal moeten worden bijgehouden voor welk doel de gegevens worden verwerkt, welke categorieën gegevens worden verwerkt, aan wie de gegevens worden verstrekt (en in het geval van verstrekking aan landen buiten de EU: documentatie waaruit blijkt dat er passende waarborgen zijn), de bewaartermijnen en een beschrijving van de beveiligingsmaatregelen.
Ook zal de werkgever in sommige gevallen een functionaris voor gegevensverwerking (FG) moeten aanstellen. Dit geldt voor overheidsinstanties en publieke organisaties, organisaties die vanuit hun kernactiviteit op grote schaal individuen volgen (denk aan een uitzendbureau) of organisaties die op grote schaal bijzondere persoonsgegevens verwerken en voor wie dit een kernactiviteit is (bijvoorbeeld een hogeschool of universiteit).
Een volgende stap is het in kaart brengen van de risico’s en de maatregelen die nodig zijn om deze te mitigeren. Zo dient een zogenoemde privacy impact assessment (PIA) te worden uitgevoerd wanneer het project hoge risico’s voor de privacy van de betrokken personen oplevert. Een PIA is een voorafgaand onderzoek naar de privacy effecten van een project waarmee persoonsgegevens worden verwerkt. Een andere maatregel in dat kader betreft het reeds benoemde ‘privacy by design’ dat zoveel inhoudt als dat alle producten en diensten ‘privacy proof’ moeten worden ontwikkeld waarbij wordt voldaan aan het uitgangspunt van data minimalisatie, de bewaartermijnen moeten in acht worden genomen en alle maatregelen moeten worden getroffen om de bescherming van persoonsgegevens te verhogen. Bij het in kaart brengen van de risico’s zal de organisatie ook moeten checken of alle huidige regelingen die zien op verwerking van persoonsgegevens AVG-compliant zijn. En indien nodig, dienen deze te worden gewijzigd of moeten nieuwe regelingen in samenspraak met de onderne-mingsraad worden geïmplementeerd.
Bewustwording door training
En – last but not least – dienen organisaties te zorgen voor ‘AVG-bewustwording’ en doorwerking in de bedrijfscultuur en werkprocessen hiervan. Het is voor werkgevers van groot belang de werknemers over de (uitbreiding van) privacyrechten te informeren, hen te faciliteren en (regelmatig) te trainen. Ook hier kan de advocaat – die inzicht heeft in de onderneming van zijn of haar cliënten, hun organisatiestructuur, werk- en besluitvormingsprocessen, alsmede hun werknemers en wat hen drijft – zich als business partner opstellen en bijdragen aan de AVG-bewustwording van zijn of haar cliënten.
Conclusie
Al met al staan organisaties aan de vooravond van een grote verandering van hun interne bedrijfsvoering en werkprocessen. De nieuwe privacyregels vervat in de AVG zullen werkgevers, verantwoordelijken en verwerkers dwingen goed na te denken over persoonsgegevensverwerking en -bescherming. Door te voldoen aan de uitgebreidere verantwoordingsplicht (accountability) zal een belangrijke bijdrage worden geleverd aan de bescherming van het grondrecht van mensen op privacy. En ook de advocaat kan zijn of haar bijdrage leveren aan de bescherming van privacy door cliënten bij te staan bij invoering van de nieuwe regels, het aanpassen van bestaande en introduceren van nieuwe werkprocessen (al dan niet met de ondernemingsraad) alsmede het trainen van de organisatie en werknemers hierover.
Noot
[1] In de uitvoeringswet AVG staan bepalingen over de positie van de toezichthouder (zoals waarborgen voor onafhankelijkheid van de Nederlandse toezichthouder, de Autoriteit Persoonsgegevens) en onderwerpen, waarbij ruimte is voor afwijking of aanvulling van de Europese regels.
[2] Artikel 1 sub a Wbp: In deze wet en de daarop berustende bepalingen wordt verstaan onder a. persoonsgegeven: elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon.
[3] Artikel 4 lid 1 AVG: Voor de toepassing van deze verordening wordt verstaan onder: 1) persoonsgegevens: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (de betrokkene); als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon;”
[4] Op grond van artikel 88 AVG.
Over de auteurs
Arlette Putker-Blees heeft een lange staat van dienst in de commerciële arbeidsrechtpraktijk in het topsegment van de markt en bedient een breed scala van voornamelijk zakelijke cliënten. Haar focus ligt op (collectief)ontslagrecht, reorganisaties, arbeidsrechtelijke procedures en privacy (waaronder fraude) op de werkvloer. Karolina Dorenbos heeft meer dan 15 jaar corporate en arbeidsrechtelijke ervaring opgedaan in de advocatuur, de rechterlijke macht en als bedrijfsjurist. Zij adviseert en procedeert over M&A, (collectief) arbeidsrecht en HR-gerelateerde privacy. Arlette en Karolina geven regelmatig lezingen en inhouse trainingen over o.a. privacy op de werkvloer alsmede over invoering van de AVG aan werkgevers en ondernemingsraden. L&A advocaten is een Nederlands arbeidsrecht nichekantoor gevestigd aan de Amsterdamse Zuidas. Alle partners van het kantoor hebben hun sporen verdiend bij grote Nederlandse en internationale kantoren.