Pagina 16 van: Marktvisie Maart 3 – 2018

NR 3 | MAART 201816
Wetgeving
Aan het woord is Itse Gerrits van het Am-
sterdamse advocatenkantoor Kennedy Van
der Laan. Hij ziet het bewustzijn in het be-
drijfsleven langzaam groeien over wat er
aan staat te komen. Grote bedrijven zijn er
al langer mee bezig. Banken hebben zelfs
al hele bataljons juristen gemobiliseerd
om goed beslagen ten ijs te komen. In het
mkb leeft de nieuwe wetgeving nog nau-
welijks. Kleine ondernemers hebben de
rompslomp lang voor zich uitgeschoven.
Maar de bewuste datum komt dichterbij.
Gerrits krijgt steeds meer bezorgde onder-
nemers op bezoek.
Werk en privé
Waarom is het tijd voor vernieuwing van de
wetgeving?
“Techniek is veel meer dan voorheen aan-
wezig in ons werk en dagelijkse leven, dat
is een belangrijk aspect. De grens tussen
werk en privé vervaagt. Neem de stappen-
teller. Er zijn werkgevers die het voltallige
personeel een stappenteller cadeau doen.
Leuk natuurlijk, maar dan heb je ook toe-
gang tot gezondheidsgegevens. En daar
mag de werkgever niet zomaar bij. Ander
voorbeeld: tracking van bedrijfsbusjes.
Tracken tijdens kantooruren kan nuttig
zijn, dat kan een ondernemer prima uit-
leggen. Maar de software werkt 24/7. Wat
doet Arie ’s avonds in dat louche café?
Zulke informatie is privacygevoelig.”
Waar hebben kleine ondernemers nu onduide-
lijkheid over?
“Of ze toegang hebben tot e-mail van het
personeel? Of ze (geheime) camera’s
mogen ophangen? Wat er in hun internet-
protocol moet staan? Dat soort zaken. De
AVG geeft duidelijkheid. Straks moet de
werkgever een goede reden hebben om
bepaalde gegevens te verwerken. Aan de
hand van die reden wordt bepaald of per-
soonsgegevens privacygevoelig zijn. De
werkgever heeft een ‘verwerkingsgrond-
slag’ nodig. Oftewel: wat is nodig voor de
uitvoering van het werk? Wat betreft op
personen herleidbare gegevens, moet je
denken aan naam, adres, woonplaats,
BSN, banknummer en verzuimregistratie.
Dat laatste ligt gevoelig. Dat een werkne-
mer ziek is, moet een werkgever natuurlijk
kunnen registreren. Maar het wordt pre-
cair als hij ‘griep’, ‘burnout’ of ‘operatie
aan de nieren’ vastlegt.”
Controle
Wat moeten bedrijven voor 25 mei 2018
regelen?
“Bedrijven doen er goed aan intern een
aanspreekpunt én verantwoordelijke aan
te wijzen, bijvoorbeeld een directielid of
HR-manager, die een lijst met issues gaat
maken en afhandelen in volgorde van
urgentie. Denk aan een protocol voor
datalekken en een update van het privacy-
beleid in het HR-handboek en internetpro-
tocol. Bij bedrijven waar veel bijzondere
persoonsgegevens worden verwerkt, is een
‘privacyfunctionaris’ zelfs verplicht. Verder
moeten bedrijven een register bijhouden
waarin staat met welk bedrijfsmatig doel
gegevens worden bewaard, welke gege-
vens dat zijn, hoe lang en op welke grond-
slag gegevens worden bewaard en
wanneer ze worden verwijderd. Een mooi
voorbeeld is de afgewezen sollicitant. De
ondernemer moet kunnen uitleggen
waarom diens gegevens zijn bewaard.
Nou, misschien omdat de aangenomen
sollicitant mogelijk niet voldoet. Naar
zulke argumenten is de Autoriteit Per-
soonsgegevens (AP) op zoek.”
Hoe scherp gaat de AP controleren?
“Dat is de vraag. De AP heeft met 80 fte
een behoorlijk capaciteitstekort en zal
gaan prioriteren. Als er concrete aanwij-
zingen zijn, volgen controles. Of marktor-
ganisatoren, marktondernemers met
personeel of groothandels veel kans lopen
op een controle, betwijfel ik. Maar straks
hebben werknemers ook ‘klachtrecht’
zodra hun baas de regels schendt. Als de
AP in klachten een patroon ziet, zal ze
controleren. Sancties kunnen oplopen tot
20 miljoen euro. Onder de huidige wet kan
de AP ook boetes uitdelen, maar er is nooit
een werkgever beboet. Dat zie ik wel ver-
anderen. Voorzitter Aleid Wolfsen heeft
het ook aangekondigd. De AP hoeft straks
trouwens niet meer eerst een bindende
aanwijzing te geven. Die tussenstap is
eruit. Boetes kunnen vanaf 25 mei direct
worden opgelegd.”
Zie je verschillen tussen mkb en grootbedrijf?
“De issues zijn hetzelfde, verschillen zien
we vooral in de aard van bedrijven. Een
klein ziekenhuis verwerkt meer privacyge-
voelige gegevens dan een groot bouwbe-
drijf, om maar eens wat te noemen.”
Rechten
Welke rechten hebben werknemers?
“Naast het genoemde klachtrecht is er
‘recht op inzage’, ‘recht op rectificatie’,
‘recht op vergetelheid’ en ‘recht op beper-
king van gegevensverwerking’. De werkge-
ver moet die rechten faciliteren en de
organisatie zo inrichten dat ‘compliance’
met de AVG is geregeld.”
Wat wordt de rol van de ondernemingsraad?
“De OR heeft ‘instemmingsrecht’ als er be-
leid wordt gemaakt of aangepast op het
gebied van privacy. Denk aan maatregelen
die de werkgever in staat stellen werkne-
mers te volgen, zoals wearables en trac-
king.”
Gaat de AVG de sfeer op de werkvloer verpes-
ten?
“Ik denk dat dat wel meevalt. Recht op in-
zage hebben werknemers nu ook, al wordt
dat recht onder de AVG veel sterker. Wat
dit betreft, gaat er denk ik weinig verande-
ren. Werknemers willen vooral inzage als
er een geschil is, en dan is de sfeer toch al
verpest. Ik denk overigens wel dat de AVG
meer zal worden ingezet als strategisch
middel. Werknemers zullen sneller op
zoek gaan naar schending van privacy om
onderhandelingsdruk te creëren en scha-
devergoeding te eisen. Mijn advies? Zorg
dat je register in orde is. Dat is nu veel
werk. Maar als het raamwerk eenmaal
staat, is het een kwestie van bijhouden.” l
https://autoriteitpersoonsgegevens.nl
https://kvdl.nl
“Bewijslast ligt straks bij werkgever
Itse Gerrits van advocatenkantoor Kennedy Van
der Laan: “Bedrijven moeten een register bijhou-
den waarin staat met welk bedrijfsmatig doel ge-
gevens worden bewaard, welke gegevens dat zijn,
hoe lang en op welke grondslag gegevens worden
bewaard en wanneer ze worden verwijderd.”
14-15-16_privacywetavg.indd 16 21-02-18 11:09