nieuws

Heeft u een ‘privacyfunctionaris’ nodig?

Arbeidsrecht

Door nieuwe Europese privacywetgeving zullen sommige werkgevers binnenkort een privacyfunctionaris nodig hebben. Maar wat doet deze persoon precies?

Heeft u een ‘privacyfunctionaris’ nodig?

Vanaf 25 mei 2018 geldt nog maar één privacywet in de hele EU: de Algemene verordening gegevensbescherming (AVG). De Wet bescherming persoonsgegevens (WBP) komt hiermee te vervallen. En dat heeft gevolgen voor werkgevers. Automatisch werken zij namelijk al met personeelsgegevens.

De AVG verplicht een deel van het bedrijfsleven en de overheid een privacyfunctionaris aan te stellen. Dat geldt onder meer voor organisaties die op grote schaal bijzondere persoonsgegevens verwerken. Daarnaast kan een organisatie ook vrijwillig een privacyfunctionaris aanstellen.

Waarom een privacyfunctionaris?

Maar wat doet zo’n privacyfunctionaris precies? In principe ziet deze functionaris toe op de naleving van de privacywetgeving. Hij informeert en adviseert de organisatie, is het aanspreekpunt voor de toezichthouder en voert risicoanalyses uit.

Een Privacy Impact Assesment (PIA) is een onderzoek naar de privacyrisico’s die binnen de organisatie spelen en de maatregelen die nodig zijn om die te beperken. Het is aan te raden om eenmalig alle procedures waarbij persoonsgegevens worden verwerkt aan een PIA te onderwerpen, voordat op 25 mei 2018 de AVG van kracht wordt. Van elke PIA moet een schriftelijk verslag worden vastgelegd.

Parttime of externe privacyfunctionaris

De functie van privacyfunctionaris mag parttime worden vervuld, of door een externe deskundige worden uitgevoerd. De persoon moet echter vanuit een onafhankelijke positie verslag uit kunnen brengen aan de hoogst verantwoordelijke binnen de organisatie.

Leg de verantwoordelijkheden schriftelijk vast

Daarnaast moet de organisatie documenteren hoe deze functie wordt vervuld. Bijvoorbeeld hoe de onafhankelijkheid van de privacyfunctionaris wordt gewaarborgd en hoe deze wordt geïnformeerd over alle processen waarbinnen persoonsgegevens worden verwerkt. Dat kan bijvoorbeeld door aanwezigheid bij relevante vergaderingen en regelmatig overleg met relevante personen.

Privacyfunctionaris volgt elke bewerking van personeelsdata

De privacyfunctionaris moet toezicht houden op alle situaties waarin persoonsgegevens worden beheerd. Denk aan het verwerken, maar ook aan het verspreiden ervan. Dat geldt ook voor de verwerking van persoonsgegevens van werknemers, bijvoorbeeld binnen de salarisadministratie en het HRM-systeem.

HR-software moet voldoen aan ‘privacy by design’

Volgens de AVG moet alle software die organisaties gebruiken om persoonsgegevens te verwerken voldoen aan ‘privacy by design’. Dat betekent dat zo min mogelijk persoonsgegevens worden verwerkt, dat zo min mogelijk personen er toegang toe hebben en de gegevens zo kort mogelijk worden bewaard. Ook de ondernemingsraad heeft hierin een grote rol.

Organisaties die al gebruik maken van HRM-software zullen relatief weinig moeite hebben om te voldoen aan deze eis van privacy by design. Het systeem is na installatie zodanig geconfigureerd dat persoonsgegevens alleen toegankelijk zijn voor de juiste personen. Hierdoor kunnen organisaties dankzij e-HRM sneller voldoen aan de nieuwe Europese privacywetgeving.

TIP: In welke gevallen moet uw organisaties ook een privacyfunctionaris aanstellen? Check de voorwaarden en download de gratis whitepaper ‘Heeft uw organisatie een privacyfunctionaris nodig?

 

Reageer op dit artikel