AVG (Algemene Verordening Gegevensbescherming)

de nieuwe avg komt eraan: wat betekent dit?

Op 25 mei 2018 is de Algemene verordening gegevensbescherming, kortgezegd de AVG ingegaan. Dat betekent dat vanaf deze datum binnen de hele Europese Unie dezelfde regels gelden voor privacy. De AVG komt in de plaats van de Nederlandse Wet bescherming persoonsgegevens (Wbp). Kern is dat de regels voor organisaties om de privacy van persoonsgegevens te waarborgen worden aangescherpt.

Wat zijn persoonsgegevens?

Elke organisatie verwerkt, al dan niet bewust, persoonsgegevens. Namen, adressen en telefoonnummers van klanten of werknemers horen al tot deze categorie. Daarnaast zijn er zogenaamde bijzondere persoonsgegevens, bijvoorbeeld medische gegevens.
Ook als werkgever krijgt u daarom te maken met de nieuwe regels rondom privacy. Zo mag u niet alle informatie opvragen. U kunt bijvoorbeeld niet zomaar vragen naar gegevens over de partner of de kinderen. Dit mag alleen als u deze informatie nodig heeft, bijvoorbeeld wanneer uw medewerker ouderschapsverlof wil opnemen.

Kernpunten AVG

Elke organisatie moet kunnen aantonen dat voldaan wordt aan de eisen van de wet. Enkele kernpunten van de maatregelen, die genomen moeten worden, zijn:

  • Een ‘verwerkingsregister’ opstellen. In dit register staat welke persoonsgegevens u verwerkt en met welk doel, met wie deze gegevens worden gedeeld en hoe lang u deze bewaart.
  • Organisatorische beveiligingsmaatregelen nemen om de persoonsgegevens te beschermen en datalekken te voorkomen. Denk hierbij om het afsluiten van kasten met gevoelige persoonsgegevens.
  • Technische beveiligingsmaatregelen nemen, bijvoorbeeld een up-to-date virusscan, een unieke inlogcode en/of uniek wachtwoord en het maken van een back-up.
  • Medewerkers bewust maken van het belang van privacy met betrekking tot persoonsgegevens en het risico op datalekken.
  • Het melden van datalekken aan de Autoriteit Persoonsgegevens (AP).
  • Het benoemen van een Functionaris Gegevensbescherming (FG) voor bedrijven en overheidsinstellingen die veel werknemers in dienst hebben, over veel gevoelige data beschikken of op grote schaal data analyseren.
  • Het maken van aanvullende afspraken met derden-partijen, waarmee wordt samengewerkt, over het garanderen van de privacy van persoonsgegevens, die voor de uitvoering van de dienstverlening noodzakelijk zijn. Dit heet een ‘verwerkersovereenkomst’.
  • Transparant zijn welke gegevens voor de uitvoering van de dienstverlening noodzakelijk zijn en verwerkt worden. Dit stelt eisen aan de communicatie.

Arbodienstverlening extra gevoelig

Arbodienstverlening is per definitie een activiteit waarin veel persoonsgegevens – en vooral ook privacygevoelige gegevens – vastgelegd en verwerkt worden. Dat is niet nieuw. Denk hierbij aan bijvoorbeeld de uitvoering van preventiespreekuur, vitaliteitsscans, preventief medisch onderzoek, coaching, verzuimbegeleiding en re-integratie.

Arbodienstverleners, en daarmee ook Stigas, hebben daarom al langer te maken met extra regels rondom privacy, bijvoorbeeld ook het medisch beroepsgeheim. Stigas is sinds 2014 gecertificeerd en wordt op grond hiervan elk jaar getoetst op de wijze waarop de privacy van gegevens gewaarborgd is.

Wat betekent dit voor u als werkgever?

Bent u klant bij Stigas, dan mag u ervan uitgaan dat de privacy van uw gegevens en van uw medewerkers gewaarborgd is en de uitvoering van de dienstverlening ook voldoet aan de AVG. Wij vragen u bij het aangaan van een overeenkomst voor dienstverlening niet alleen kennis te nemen van de Algemene Voorwaarden, maar ook van ons vernieuwde privacyreglement en privacy policy. U kunt dan precies zien welke gegevens door ons worden beheerd en verwerkt en met welk doel voor de aan u aangeboden dienstverlening.

In het kader van de AVG is het niet verplicht om met Stigas een verwerkersovereenkomst af te sluiten. Als werkgever heeft u met uw werknemer een arbeidsovereenkomst en heeft u conform de wettelijke verplichtingen een onafhankelijke partij ingeschakeld voor het uitvoeren van arbodienstverlening. De grondslag betreft hier een verlengde van de wettelijke verplichting. In de relatie met Stigas hoeft u dan ook verder geen actie te ondernemen.

Dit neemt overigens niet weg dat u ook als werkgever in de relatie met uw medewerkers met de AVG te maken krijgt. Zo mag u bijvoorbeeld aan een medewerker niet meer gegevens en informatie opvragen, bijvoorbeeld over hun privésituatie, dan strikt noodzakelijk is voor de samenwerking met uw werknemer. En dit geldt zeker ook – en dat is niet nieuw - voor privacygevoelige persoonsinformatie van uw medewerker, bijvoorbeeld welke ziekte uw medewerker heeft.

Voor meer informatie over AVG verwijzen wij u naar de autoriteit persoonsgegevens.
https://autoriteitpersoonsgegevens.nl/
In 10 stappen voorbereid op de AVG
AVG in een notendop

U kunt ook onze Servicedesk bellen: 085 - 044 07 00, optie 1