nieuws

ABC van de privacy

Arbeidsrecht

ABC van de privacy

De privacywetgeving raakt iedere HR-professional. Op 25 mei 2018 wordt de Algemene verordening gegevensbescherming (AVG) van toepassing. Nieuwe wetgeving brengt nieuwe begrippen mee. Weet waar u het over heeft met het ABC van de privacy.

Algemene verordening gegevensbescherming (AVG) – Sinds 25 mei 2018 is de Algemene verordening gegevensbescherming (AVG) van toepassing. Dat betekent dat er vanaf die datum dezelfde privacywetgeving geldt in de hele Europese Unie (EU)

Artikel 88 EU-AVG – Het artikel van de Algemene verordening gegevensbescherming dat betrekking heeft op de verwerking van persoonsgegevens in het kader van de arbeidsverhouding.

Autoriteit Persoonsgegevens (AP) – Voorheen College Bescherming Persoonsgegevens. Houdt toezicht op de naleving van de wettelijke regels voor bescherming van persoonsgegevens en adviseert over nieuwe regelgeving. Ook kan de AP bij overtredingen handhavend optreden, onder andere door het opleggen van boetes.

Beveiligingslek – Als alleen sprake is van een zwakke plek in de beveiliging, spreken we van een beveiligingslek en niet van een datalek. U hoeft dan geen melding te doen aan de Autoriteit Persoonsgegevens.

Bewaartermijn – U mag gegevens niet langer bewaren dan nodig is. De Wet bescherming persoonsgegevens (WBP) geeft geen concrete bewaartermijn voor persoonsgegevens. De verantwoordelijkheid ligt bij de organisaties. Zij moeten bepalen hoe lang de gegevens nodig zijn voor het doel waarvoor deze zijn verzameld of worden gebruikt. Na het verloop van de bewaartermijn moeten de persoonsgegevens worden vernietigd.
Organisaties mogen persoonsgegevens in een archief bewaren als dit bestemd is voor historische, statistische of wetenschappelijke doeleinden.

Bijzondere persoonsgegevens – Gevoelige gegevens zoals godsdienst of levensovertuiging, ras, politieke gezindheid, gezondheid, seksuele leven, of informatie over het lidmaatschap van een vakvereniging. Bijzondere persoonsgegevens worden door de wet extra beschermd.

Cameratoezicht – Organisaties moeten cameratoezicht vooraf melden bij de Autoriteit Persoonsgegevens, tenzij er een vrijstelling geldt. Cameratoezicht voor de beveiliging van personen, gebouwen, terreinen, zaken en productieprocessen is in de regel vrijgesteld van melden op grond van artikel 38 uit het Vrijstellingsbesluit, mits het gaat om duidelijk zichtbare camera’s.

Datalek – Er is sprake van een datalek als er bij het beveiligingsincident persoonsgegevens verloren zijn gegaan, of als u onrechtmatige verwerking van de persoonsgegevens niet redelijkerwijs kunt uitsluiten. Bij een beveiligingsincident moet u bijvoorbeeld denken aan het kwijtraken van een USB-stick, de diefstal van een laptop of aan een inbraak door een hacker.

Data protection impact assessment (DPIA) – Een instrument om vooraf de privacyrisico’s van een gegevensverwerking in kaart te brengen. Zie ook privacy impact assessment (PIA).

Data protection officer – Ziet toe op de naleving van de privacyregelgeving in een organisatie. Het is onder andere verplicht om een data protection officer aan te stellen wanneer u op grote schaal persoonsgegevens verwerkt of wanneer het observeren van mensen behoort tot uw kernactiviteiten. Overheidsorganisaties zijn volgens de AVG altijd verplicht om een data protection officer aan te stellen. Zie ook functionaris voor de gegevensbescherming of privacyfunctionaris.

Europese richtlijn bescherming persoonsgegevens – De richtlijn geeft regels voor de verwerking van persoonsgegevens en het vrije verkeer van deze gegevens. De nationale privacywetgeving van de EU-staten is gebaseerd op de Europese richtlijn bescherming persoonsgegevens. Ook bekend als Richtlijn 95 46 EG 1995.

Europese toezichthouder voor gegevensbescherming (Afkorting EDPS naar European Data Protection Supervisor)

  • Ziet erop toe dat de EU-instellingen en -organen bij de verwerking van persoonsgegevens de privacyvoorschriften in acht nemen;
  • Adviseert de EU-instellingen en -organen over de verwerking van persoonsgegevens en het beleid en de wetgeving daarover;
  • Behandelt klachten en stelt onderzoeken in;
  • Werkt samen met de nationale autoriteiten van de EU-landen om tot een uniforme gegevensbescherming te komen
  • Volgt nieuwe technologieën die gevolgen kunnen hebben voor de gegevensbescherming.

Functionaris voor de gegevensbescherming – Ziet toe op de naleving van de privacyregelgeving in een organisatie. Zie ook data protection officer of privacyfunctionaris.

General Data Protection Regulation (GDPR) – Engelse benaming voor Algemene verordening gegevensbescherming.

Meldplicht datalekken – Van kracht sinds 1 januari 2016. Organisaties die een ernstig datalek hebben, moeten dit sindsdien melden bij de Autoriteit Persoonsgegevens (AP) en soms ook aan de mensen van wie de gelekte gegevens zijn.

Persoonsgegevens – Informatie die ofwel direct over een persoon gaat, ofwel naar deze persoon te herleiden is. Te denken valt aan naam, adres en woonplaats, telefoonnummers en postcodes met huisnummers. Lees meer op de site van de Autoriteit Persoonsgegevens.

Privacyfunctionaris – Ziet toe op de naleving van de privacyregelgeving in een organisatie. Zie ook data protection officer of functionaris voor de gegevensbescherming (FG).

Privacy impact assessment (PIA) – Een instrument om vooraf de privacyrisico’s van een gegevensverwerking in kaart te brengen. Zie ook data protection impact assessment (DPIA).

Privacywet – Was: de Wet bescherming persoonsgegevens. Op 25 mei 2018 is in de hele EU de nationale privacywetgeving vervangen door de Algemene verordening gegevensbescherming (zie ook: General Data Protection Regulation)

Verwerker – persoon, bedrijf, organisatie of overheidsinstantie die voor anderen de persoonsgegevens verwerkt. De verwerker mag de persoonsgegevens niet voor eigen doeleinden gebruiken.

Verwerkersovereenkomst – Wanneer u gebruik maakt van de diensten van een verwerker (nu nog ‘bewerker’ genoemd) bent u verplicht om een aantal onderwerpen vast te leggen in een schriftelijke overeenkomst. Hierin moet in ieder geval worden opgenomen:

  • Een omschrijving van het onderwerp;
  • De duur, de aard en het doel van de verwerking;
  • Het soort persoonsgegevens;
  • De categorieën van betrokkenen;
  • Uw rechten en verplichtingen als verwerkingsverantwoordelijke (nu nog ‘verantwoordelijke’ genoemd).

Verwerkingsverantwoordelijke – Degene die alleen of met anderen bepaalt welke persoonsgegevens worden opgeslagen, waarom dat gebeurt en welke middelen daarvoor worden ingezet. De verwerkingsverantwoordelijke kan een persoon, een bedrijf, organisatie of een overheidsinstantie zijn. De verwerkingsverantwoordelijke is degene die door de toezichthouder kan worden aangesproken in verband met de verwerking van persoonsgegevens. De verwerkingsverantwoordelijke is ook degene tot wie mensen zich kunnen wenden om aanspraak te maken op hun rechten volgens de privacywetgeving.

Wet bescherming persoonsgegevens (WBP) – Dit was de Nederlandse uitwerking van de Europese richtlijn bescherming persoonsgegevens. De WBP was sinds 1 september 2001 van kracht. Op 25 mei 2018 is in de hele EU de nationale privacywetgeving vervangen door de Algemene verordening gegevensbescherming (zie ook: General Data Protection Regulation).

Lees ook: Privacy in het personeelsdossier: wat mag en wat mag niet?

Bronnen: Autoriteit Persoonsgegevens, Rijksoverheid, Europese Unie.

Reageer op dit artikel