AVG (Algemene Verordening Gegevensbescherming)
De avg is van kracht: wat betekent dit?
Op 25 mei 2018 is de Algemene verordening gegevensbescherming, kortgezegd de AVG ingegaan. Dat betekent dat vanaf deze datum binnen de hele Europese Unie dezelfde regels gelden voor privacy. De AVG komt in de plaats van de Nederlandse Wet bescherming persoonsgegevens (Wbp). Kern is dat de regels voor organisaties om de privacy van persoonsgegevens te waarborgen zijn aangescherpt.
Wat zijn persoonsgegevens?
Elke organisatie verwerkt, al dan niet bewust, persoonsgegevens. Namen, adressen en telefoonnummers van klanten of werknemers horen al tot deze categorie. Daarnaast zijn er zogenaamde bijzondere persoonsgegevens, bijvoorbeeld medische gegevens.
Ook als werkgever krijg je daarom te maken met de nieuwe regels rondom privacy. Zo mag u niet alle informatie opvragen. Je kunt bijvoorbeeld niet zomaar vragen naar gegevens over de partner of de kinderen. Dit mag alleen als je deze informatie nodig hebt, bijvoorbeeld wanneer je medewerker ouderschapsverlof wil opnemen.
Kernpunten AVG
Elke organisatie moet kunnen aantonen dat voldaan wordt aan de eisen van de wet. Enkele kernpunten van de maatregelen, die genomen moeten worden, zijn:
- Een ‘verwerkingsregister’ opstellen. In dit register staat welke persoonsgegevens u verwerkt en met welk doel, met wie deze gegevens worden gedeeld en hoe lang je deze bewaart.
- Organisatorische beveiligingsmaatregelen nemen om de persoonsgegevens te beschermen en datalekken te voorkomen. Denk hierbij om het afsluiten van kasten met gevoelige persoonsgegevens.
- Technische beveiligingsmaatregelen nemen, bijvoorbeeld een up-to-date virusscan, een unieke inlogcode en/of uniek wachtwoord en het maken van een back-up.
- Medewerkers bewust maken van het belang van privacy met betrekking tot persoonsgegevens en het risico op datalekken.
- Het melden van datalekken aan de Autoriteit Persoonsgegevens (AP).
- Het benoemen van een Functionaris Gegevensbescherming (FG) voor bedrijven en overheidsinstellingen die veel werknemers in dienst hebben, over veel gevoelige data beschikken of op grote schaal data analyseren.
- Het maken van aanvullende afspraken met derden-partijen, waarmee wordt samengewerkt, over het garanderen van de privacy van persoonsgegevens, die voor de uitvoering van de dienstverlening noodzakelijk zijn. Dit heet een ‘verwerkersovereenkomst’.
- Transparant zijn welke gegevens voor de uitvoering van de dienstverlening noodzakelijk zijn en verwerkt worden. Dit stelt eisen aan de communicatie.
Arbodienstverlening extra gevoelig
Arbodienstverlening is per definitie een activiteit waarin veel persoonsgegevens – en vooral ook privacygevoelige gegevens – vastgelegd en verwerkt worden. Dat is niet nieuw. Denk hierbij aan bijvoorbeeld de uitvoering van preventiespreekuur, vitaliteitsscans, preventief medisch onderzoek, coaching, verzuimbegeleiding en re-integratie.
Arbodienstverleners, en daarmee ook Stigas, hebben daarom al langer te maken met extra regels rondom privacy, bijvoorbeeld ook het medisch beroepsgeheim. Stigas is sinds 2014 gecertificeerd en wordt op grond hiervan elk jaar getoetst op de wijze waarop de privacy van gegevens gewaarborgd is.
Wat betekent dit voor jou als werkgever?
Ben je klant bij Stigas, dan mag je ervan uitgaan dat de privacy van je gegevens en die van jouw medewerkers gewaarborgd is en de uitvoering van de dienstverlening ook voldoet aan de AVG. Wij vragen je bij het aangaan van een overeenkomst voor dienstverlening niet alleen kennis te nemen van de Algemene Voorwaarden, maar ook van ons vernieuwde privacyreglement en privacy policy. Je kunt dan precies zien welke gegevens door ons worden beheerd en verwerkt en met welk doel.
In het kader van de AVG is het niet verplicht om met Stigas een verwerkersovereenkomst af te sluiten. Als werkgever heb je met je medewerker een arbeidsovereenkomst en heb je conform de wettelijke verplichtingen een onafhankelijke partij ingeschakeld voor het uitvoeren van arbodienstverlening. De grondslag betreft hier een verlengde van de wettelijke verplichting. In de relatie met Stigas hoef je dan ook verder geen actie te ondernemen.
Dit neemt overigens niet weg dat je ook als werkgever in de relatie met je medewerkers met de AVG te maken krijgt. Zo mag je bijvoorbeeld aan een medewerker niet meer gegevens en informatie opvragen, bijvoorbeeld over hun privésituatie, dan strikt noodzakelijk is voor de samenwerking met je medewerker. En dit geldt zeker ook – en dat is niet nieuw - voor privacygevoelige persoonsinformatie, bijvoorbeeld welke ziekte je medewerker heeft.
Voor meer informatie over AVG verwijzen wij je naar de autoriteit persoonsgegevens.
https://autoriteitpersoonsgegevens.nl/
Je kunt ook onze Servicedesk bellen: 085 - 044 07 00, optie 1