Nieuwe AVG zorgt voor privacystress

Per 25 mei geldt in de hele EU dezelfde privacywetgeving als de Algemene verordening gegevensbescherming (AVG) in werking treedt. Handig, overal dezelfde regels. Maar er zijn ook zaken níet handig aan de AVG. De onduidelijkheid, bijvoorbeeld, waarover veel veiligheidskundigen zich zorgen maken.

Dat de AVG eraan komt, eind mei, is geen veiligheidskundige ontgaan. Maar wat dat betekent voor het vak, is nog verre van duidelijk. Advocaat Pascal Willems, gespecialiseerd in de relatie tussen privacywetgeving en het sociale domein, signaleert ‘privacy-stress’ bij professionals. “Mensen denken dat er iets enorms aankomt”, zegt hij. “Aan de ene kant is dat zo, want er gaan dingen veranderen. Aan de andere kant: de veranderingen komen niet per se allemaal op het bordje van de veiligheidskundige terecht – tenzij die zzp’er is. Maar veel meer bij degene die verantwoordelijk is voor de gegevensverwerking.”

Register
Want de AVG verplicht de organisatie in een schriftelijk of elektronisch register de verwerking van persoonsgegevens in kaart te brengen en vervolgens bij te houden. Welke persoonsgegevens gebruik je als organisatie, voor welk gerechtvaardigd doel, waar sla je ze op en met wie deel je ze? Omdat de veiligheidskundige onderzoek doet naar en verslag doet van bijvoorbeeld incidenten, uitval en ziekte, krijgt hij hier uitgebreid mee te maken. “Het verwerkingsregister komt in de plaats van de huidige meldingsplicht die organisaties hadden onder de Wet Bescherming Persoonsgegevens”, legt Willems uit. “De nieuwe regels zijn vooral bedoeld om organisaties ervan bewust te maken dat zij verantwoordelijk om moeten gaan met persoonlijke gegevens. En om de rechten van de ‘eigenaren’ van deze gegevens, de zogenoemde ‘betrokkenen’, beter te borgen. Denk bijvoorbeeld aan het recht op inzage of een kopie van de persoonsgegevens die worden verwerkt.”

Eerst blaffen, dan bijten
Voor professionals die aan de preventie- en verzuimkant werken met gezondheidsgegevens van medewerkers, is bewustwording van groot belang. “Die gegevens mag je niet verwerken, tenzij er een wettelijke grondslag voor is”, zegt Willems. “De Autoriteit Persoonsgegevens (AP) geeft aan de mogelijkheid om gezondheidsgegevens te verwerken een beperkte invulling. Besef dat wat je doet op dit vlak onder een vergrootglas ligt. Dus als je iets opschrijft: bedenk dan eerst of het noodzakelijk is. Of kun je het op een ándere manier opschrijven? Zitten er risico’s aan, en is je beveiliging op orde?” Een fout is zo gemaakt en forse boetes schemeren aan de horizon. Een geruststelling is dat de AP niet meteen bijt, maar eerst waarschuwt. “Hoe meer er over je geklikt wordt bij de AP, des te eerder lig je onder vuur”, zegt Willems. “Maar in de meeste gevallen komt er vermoedelijk niet meteen een boete, maar eerst een waarschuwing dat je iets moet veranderen. Zodat je weet wat je fout doet en hoe je dat op kunt lossen.”

Voordelen en vooral ook nadelen
De AVG staat een beetje haaks op de arbeidsrelatie, waarin je als werkgever en werknemer sámen dingen moet doen. Is het toenemende bewustzijn over de privacy een groot voordeel van de AVG, nadelen zijn er ook: het geeft veel rompslomp en er zijn veel grijze gebieden. “Het gevaar is dat we zo gefocust raken op de privacy dat het een wig drijft tussen werkgevers en werknemers”, zegt advocaat Willems. “De AVG staat een beetje haaks op de arbeidsrelatie, waarin je als werkgever en werknemer sámen dingen moet doen.
Totale openheid is wat mij betreft niet nodig. Maar als het om grote belangen gaat, ligt het risico van de bedrijfsvoering en van de zieke werknemer helemaal bij de werkgever. Die mag niks weten van de werknemer, maar hij moet wel betalen, en verder is alles onduidelijk.
Waarom zou hij nog ouderen aannemen, die meer risico lopen op ziekte? En waarom zou hij een laaggeschoolde werknemer niet liever vervangen door een machine? Daar krijgt hij tenminste een handleiding bij!” Willems pleit bij de wetgever voor meer balans, om het te strakke maatkostuum passender te krijgen voor arbeidsrelaties. “Want zo kan de AVG ten koste gaan van de positie van de werknemer. Ik zie in mijn praktijk al gebeuren dat de nieuwe regels verlammend werken en voor onrust zorgen.”

Burgerlijke ongehoorzaamheid
Een beetje burgerlijke ongehoorzaamheid kan geen kwaad in de praktijk, denkt Willems. Een voorbeeld: “Controles op alcohol en drugs mogen niet van de AP, behalve bijvoorbeeld bij vliegend personeel. In het arbeidsrecht ligt de nadruk veel meer op waarheidsvinding, ook als dat betekent dat bewijs als alcoholgebruik tijdens werktijd, niet is toegestaan. Als werkgever zit je dan met een dilemma. Want aan de ene kant moet je je aan de regels van de AP houden, maar tegelijk wil je voorkomen dat iemand met een alcoholverslaving in een bedrijfsvoertuig iemand aanrijdt. Uiteraard is dit een persoonlijke afweging, maar voor mij zou de veiligheid van anderen de doorslag geven. Als je tóch op alcohol gaat controleren, probeer dan wel de medische kant goed af te schermen. Bijvoorbeeld door dit te laten organiseren door een arts.”
Eén ding is duidelijk voor Willems: “Het is niet zo dat werkgevers zich vanzelf aan regels gaan houden als we er maar steeds meer opleggen. Bewustzijn, dat is goed, maar de ontstane dilemma’s zijn lastig in de praktijk.” Voor veiligheidskundigen heeft de advocaat een tip: “Blijf geïnformeerd over de stand van zaken. Wekelijks zijn er ontwikkelingen waardoor het speelveld er anders uit komt te zien.” 

Gezond verstand
Wie het lastig vindt al deze ontwikkelingen op de juiste waarde te schatten, kan natuurlijk externe hulp inroepen. Marien van Dis, adviseur informatiebeveiliging bij Kleemans, houdt zich in toenemende mate voor opdrachtgevers bezig met advisering over de AVG. Hij vindt het van belang dat veiligheidskundigen de wetgeving goed leren kennen. “Mijn ervaring is dat ze daar vaak geen tijd voor en zin in hebben. Vaak vinden mensen zo’n wet ingewikkeld. Maar als je goed nadenkt over de bedoeling ervan, wordt het al een stuk eenvoudiger. Met gezond verstand kom je een heel eind. Je wilt voorkomen dat jouw informatie ergens terecht komt waar die niet hoort, of gebruikt wordt voor verkeerde doelen.” Om dit door te denken is niet perse externe hulp nodig, stelt Van Dis. “Want het risico van de AVG zit in mensen en hoe zij procedures uitvoeren. Daar kun je als extern adviseur toch niet de hele dag naast zitten. Wel helpen we opdrachtgevers om de bescherming van gegevens goed te borgen in hun processen, dat helpt natuurlijk wel.”

Multidisciplinair
Wat ook helpt is het maken van goede afspraken, zodat duidelijk is wie waarvoor verantwoordelijk is. “Zorg dat je niet te veel gegevens bewaart en niet te lang”, zegt Van Dis, “hoe makkelijk dat ook is in het digitale tijdperk. En vraag je meteen af of de beveiliging van die gegevens goed is geregeld. De huidige wet vraagt dit ook al van je. Als je ‘als een goed huisvader’ aan de huidige wetgeving voldoet, verandert er door de AVG niet zoveel.”
Van Dis adviseert veiligheidskundigen daarnaast om over de grenzen van hun eigen vak te kijken. “De AVG wil dat je als organisatie passende technische en organisatorische maatregelen treft om persoonsgegevens te beschermen. Wat ‘passend’ is, moeten organisaties zelf bedenken. Je zult dus altijd de risico’s in kaart moeten brengen, om daar maatregelen op aan te kunnen laten sluiten.” En dat is een multidisciplinaire aangelegenheid, verzekert hij. “Juristen, ICT’ers en adviseurs vullen elkaar in kennis aan als het gaat om de bescherming van persoonsgegevens. Maak daar vooral gebruik van.”

Gepubliceerd in: NVVK, 28 mei, 2018

Nieuws & Kennis

Workshops en opleidingen
6 oktober 2021

Save the date!

JTNDaDMlMjBzdHlsZSUzRCUyMmNvbG9yJTNBJTIwJTIzMDA4YzliJTNCJTIyJTNFNiUyMG9rdG9iZXIlMjAyMDIyJTNDJTJGaDMlM0UlMEE=JTVCc2hvd3NjYXRzJTVEWVO Event - oktober 2022  
AlgemeenArbeidsrechtJanna van der Kamp
11 augustus 2022

Likkende beweging naar collega’s tijdens bedrijfsuitje; grapje of grensoverschrijdend?

JTNDaDMlMjBzdHlsZSUzRCUyMmNvbG9yJTNBJTIwJTIzMDA4YzliJTNCJTIyJTNFJTVCcG9zdF9wdWJsaXNoZWQlNUQlM0MlMkZoMyUzRQ==JTVCc2hvd3NjYXRzJTVEGrensoverschrijdend gedrag is en blijft een actueel onderwerp in onze maatschappij en zo ook in het arbeidsrecht. Na de incidenten…
AlgemeenAnnemarie BussePascal Willems
9 augustus 2022

Law Talk 42: Billijke vergoeding na loonsanctie

JTNDaDMlMjBzdHlsZSUzRCUyMmNvbG9yJTNBJTIwJTIzMDA4YzliJTNCJTIyJTNFJTVCcG9zdF9wdWJsaXNoZWQlNUQlM0MlMkZoMyUzRQ==JTVCc2hvd3NjYXRzJTVEIn deze aflevering van Law Talk bespreken mr. Pascal Willems en mr. Annemarie Busse de uitspraak van de Rechtbank Gelderland…