Print:

AVG Countdown: aftellen naar de inwerkingtreding van de AVG

Marieke van Dijk, Jurist, Privacy Officer

LinkedIn profiel

Het is inmiddels 2018. Het aftellen naar 25 mei wordt nu echt aan alle kanten zichtbaar. Omdat de AVG een verordening is die rechtstreeks in de nationale lidstaten doorwerkt, is vertaling van de AVG in de Nederlandse wet niet nodig. Toch geeft de AVG op verschillende punten ruimte om een nationale uitvoering te geven aan de AVG. Marieke van Dijk, Legal Counsel en Privacy Officer bij Cure4 legt een aantal zaken uit over de AVG.

Beleidsneutrale invoering van de AVG

Voor de toepassing van de nieuwe privacyregelgeving in Nederland zullen de AVG en de Uitvoeringswet AVG samen bezien moeten worden. Belangrijk is dat de Nederlandse regering ervoor heeft gekozen om de AVG “beleidsneutraal” in te voeren. De regering kiest er met de Uitvoeringswet voor om ervoor te zorgen dat er niet (nog) meer wijzigt voor verwerkingsverantwoordelijken, verwerkers en betrokkenen dan strikt noodzakelijk is op grond van de AVG. Waar mogelijk zijn dan ook bepalingen uit de huidige Wet bescherming persoonsgegevens (Wbp) overgenomen.

Afgezien dat u met de komst van de AVG nu echt aantoonbaar moet voldoen aan privacyregelgeving en dus moet zorgen voor een privacybeleid dat goed geborgd is in uw organisatie, legt de Nederlandse Uitvoeringswet geen zwaardere inhoudelijke eisen aan organisaties op. Hoewel dit een prettig uitgangspunt is waarvoor de Nederlandse regering heeft gekozen, zal het voor veel organisaties nog een hele toer zijn om ervoor te zorgen dat zij op een toekomstbestendige manier om kunnen gaan met de uitdagingen die de bescherming van de privacy van hen vraagt.

Invulling van AVG met de Uitvoeringswet

Buiten de algemene maatregelen die u op grond van de AVG zult moeten nemen, zoals het nemen van passende beveiligingsmaatregelen, het inrichten van een verwerkingenregister of de aanstelling van een Functionaris Gegevensbescherming, ziet de invulling van de AVG met de Uitvoeringswet op een aantal belangrijke onderwerpen die de verwerking van persoonsgegevens in uw organisatie raken, er als volgt uit:

1.      Verwerking van bijzondere persoonsgegevens

Waar het gaat om de verwerking van gegevens als het gaat om gezondheid als bijzonder persoonsgegeven, zoals gedefinieerd in de AVG, kiest de wetgever voor een neutrale uitvoering. De verwerking van gegevens als het gaat om gezondheid blijft dus vooral onderworpen aan Nederlandse wetgeving die ook nu al van kracht is. Daar zult u de noodzakelijke grondslag en verantwoording in moeten vinden voor de verwerking van deze gegevens.

In afwijking van de huidige Wbp zien we verder dat:

  • de verwerking van strafrechtelijke gegevens niet zijn opgenomen in de opsomming van bijzondere persoonsgegevens, maar in een afzonderlijke paragraaf van de AVG zijn geregeld en
  • genetische gegevens en biometrische gegevens die worden verwerkt met het oog op de unieke identificatie van een persoon als nieuwe categorieën bijzondere persoonsgegevens worden geïntroduceerd.

2.      Verwerking burgerservicenummer BSN

In afwijking van de Wbp is het BSN met de komst van de AVG niet langer een bijzonder persoonsgegeven. Wel geeft de AVG voor de verwerking van het BSN aan de nationale lidstaten de mogelijkheid voor het stellen van nationale regels. Met de Uitvoeringswet is hieraan als volgt invulling gegeven: Verwerking van het BSN mag alleen wanneer dat in de wet is voorgeschrevenDat betekent dat alle verwerkingen van het BSN voor een doel dat niet is voorgeschreven op basis van de wet niet is toegestaan.

Voor de overheid geldt hier de Wet algemene bepalingen burgerservicenummer (Wabb) als wettelijke grondslag voor de verwerking van het BSN. Voor de zorgsector geldt de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg (voorheen was dat de Wet gebruik BSN in de zorg). Zorgaanbieders mogen het BSN dus uitsluitend verwerken voor zover dat is voorgeschreven in deze wet. Zo is bijvoorbeeld de vermelding van het BSN op een factuur die naar de zorgverzekeraar gaat, toegestaan aangezien in de wet is voorgeschreven dat de zorgverzekeraar het BSN gebruikt voor de identificatie van de persoon wiens zorg zij vergoedt.

Natuurlijk komt het in de praktijk voor dat de wens bestaat om het BSN nog voor andere doeleinden te gebruiken dan ter uitvoering van de wet waarin is voorgeschreven dat het BSN moet worden verwerkt. Dit zogenaamde “voortgezette gebruik” van het BSN is toegestaan, mits is voldaan aan 2 voorwaarden:

  1. er moet voldaan zijn aan het algemene vereiste dat persoonsgegevens alleen verder mogen worden verwerkt als dat verenigbaar is met het doel waarvoor die persoonsgegevens zijn verkregen en
  2. verwerking van het BSN voor andere doeleinden dan ter uitvoering van de betreffende wet is alleen mogelijk voor zover dat ook in die wet is bepaald.

De wetgever heeft deze tweede eis gesteld omdat de verwerking van het BSN een groot risico op identiteitsfraude met zich brengt. De verwerking van het BSN dient daarom altijd een basis te hebben in de wet.

3.      Gegevensverwerking in het kader van de arbeidsverhouding

Verwerking van persoonsgegevens binnen de arbeidsverhouding is in het Nederlands recht niet afzonderlijk geregeld. De ruimte die de AVG geeft om op dit terrein nadere regels te stellen, heeft de Nederlandse wetgever niet verder ingevuld. Dat betekent dat de verwerking van persoonsgegevens in het kader van:

  1. de werving van personeel;
  2. de uitvoering van de arbeidsovereenkomst en
  3. de beëindiging van de arbeidsverhouding

binnen het huidige arbeidsrechtelijke kader en volgens de algemene regels van de AVG zal moeten worden getoetst. Bij de invulling hiervan spelen de normen van goed werkgeverschap en goed werknemerschap een belangrijke rol. Ook het feit dat sprake is van een vorm van machtsrelatie in de verhouding werkgever – werknemer zal moeten worden meegenomen in de beoordeling van de belangen van de werkgever om gegevens van werknemers te verwerken voor een doel waarbij de werkgever stelt een gerechtvaardigd belang te hebben.

De uitdaging bij dit onderwerp is dat ook op de werkvloer diverse vormen van technologische ontwikkelingen zijn terug te vinden. Hoe bijvoorbeeld om te gaan met het principe van “bring your own device”, het afstruinen van het internet door recruiters op zoek naar informatie over mogelijke kandidaten of het aansluiten met je mailadres op een door de werkgever voorgeschreven communicatieplatform? Hou er bijvoorbeeld ook rekening mee dat het gebruik van persoonsgegevens van uw medewerkers enkel op grond van toestemming waarschijnlijk niet door de beugel kan. Het geven van toestemming is aan duidelijke in de AVG voorgeschreven randvoorwaarden gebonden. Het is bijvoorbeeld de vraag of die toestemming van een medewerker wel in vrijheid is gegeven, zoals de AVG vereist, en niet onder druk van de machtsrelatie die er is vanuit de werkgever. De werkgroep van EU toezichthouders (WP29) heeft aan dit punt richting gegeven in haar Opinie.

Verdere invulling privacyregelgeving

Het is bekend dat op diverse onderwerpen uit de AVG bij organisaties en betrokkenen grote behoefte bestaat aan een nadere invulling en concretisering. De overheid, maar ook de Autoriteit Persoonsgegevens (AP) en de WP29 geven hier invulling aan door het uitgeven van richtsnoeren en opinies. Bij de invulling van de maatregelen die organisaties nemen, geven deze documenten duidelijke handvatten.

Risico’s

Om te zorgen voor een goed geborgd privacybeleid in uw organisatie is het van belang dat u werkt volgens een risico gebaseerd plan. Incidenten wachten echter helaas niet op een uitgevoerd plan of het nemen van minimale maatregelen.

Voor meer informatie over AVG Compliance of zorgspecifieke zaken zie Cure4AVG helpdesk.

Op zoek naar een AVG training?

Laat uw e-mail achter en ontvang de gids direct in uw mailbox.

Wij gebruiken cookies om IIR.nl gemakkelijk te maken. Bezoekt u onze website, dan gaat u akkoord met deze cookies meer informatie

De cookie-instellingen op deze website zijn ingesteld op 'toestaan cookies "om u de beste surfervaring mogelijk. Als u doorgaat met deze website te gebruiken zonder het wijzigen van uw cookie-instellingen of u klikt op "Accepteren" hieronder dan bent u akkoord met deze instellingen.

Sluiten