De Tweede kamer heeft ingestemd met de Nederlandse toepassing van de privacywet AVG, die al op 25 mei 2018 van kracht wordt. Met de nieuwe regels worden de rechten van burgers en werknemers beter beschermd, maar organisaties (én hun HR-afdelingen) moeten wel flink doorpakken om op tijd aan de wet te voldoen.
De Europese Algemene verordening gegevensbescherming (AVG) biedt betere bescherming van persoonsgegevens, waardoor vrij verkeer van gegevens binnen de EU mogelijk wordt. De rechten van burgers en werknemers op het gebied van privacy worden versterkt door bijvoorbeeld het vastleggen van het recht om 'vergeten te worden' en het recht van burgers om van de overheid of een bedrijf hun persoonsgegevens in een standaardformaat te krijgen(dataportabiliteit).
Ook HR heeft direct te maken met deze wet, omdat de gegevensverwerking van medewerkers ook onder de nieuwe regels valt.
AVG VOOR HR: Kijk hier wat je nog moet regelen!
Autoriteit Persoonsgegevens wordt toezichthouder
De Nederlandse toepassingswet van de AVG regelt de instelling en inrichting van de Autoriteit Persoonsgegevens (AP) als nationale toezichthouder en de bevoegdheid van de AP om bestuurlijke boetes op te leggen
Daarnaast moeten organisaties die persoonsgegevens verwerken rekening houden met nieuwe, strengere regels. Organisaties moet aantonen dat zij in overeenstemming met de verordening handelen en een register bijhouden van de verwerkingsactiviteiten die plaatsvinden.
Gevolgen voor burgers en bedrijven
Bedrijven en organisaties moeten op grond van de AVG zorgvuldig omgaan met gegevens van burgers en werknemers. Bedrijven kunnen bijvoorbeeld verplicht worden om een functionaris voor de gegevensbescherming aan te stellen. Of een data protection impact assessment uit te voeren, waarmee vooraf de privacyrisico's van gegevensverwerking duidelijk worden.
De Tweede Kamer wil dat de Autoriteit Persoonsgegevens zo snel mogelijk met duidelijke richtlijnen komt voor de toepassing van de normen uit de AVG. Want voor kleine bedrijven en instellingen is er veel werk aan de winkel om niet getroffen te worden. Minister Dekker "sluit zijn ogen niet" voor de inspanningen die bedrijven en organisaties op grond van de AVG moeten verrichten. Maar voor bedrijven die nu al voldoen aan de Wet bescherming persoonsgegevens, zal er volgens hem "geen aardverschuiving" plaatsvinden.
Rol Autoriteit Persoonsgegevens
De Kamerleden willen dat de Autoriteit Persoonsgegevens als waakhond "moet kunnen bijten en daadkracht gaat komen". Aan de andere kant zou de AP de eerste periode vooral adviserend moeten optreden en voorlopig "gedienstig en begeleidend handhaven".
De AP zal volgens de minister in het eerste jaar dat de AVG van kracht is vooral voorlichten en bijsturen. Met de open normen in de verordening ligt het zijns inziens niet voor de hand dat de autoriteit direct hoge boetes gaat opleggen aan welwillende bedrijven en organisaties.
Extra aandacht en aanpassingen
De Kamer vraagt onder meer extra aandacht voor de klachtenprocedure van de Autoriteit Persoonsgegevens en de verwerking van gezondheidsgegevens van zieke werknemers. Ze willen een halfjaar na inwerkingtreding van de AVG een eerste evaluatie van de minister. Dat zegt hij toe.
Verder zal de Autoriteit Persoonsgegevens rekening moeten houden met de omvang van organisaties, als blijkt dat ze moeten handhaven. Dat moet kleine organisaties ontzien, zodat zij geen onnodige extra lasten krijgen. Verder komt er een extra collegelid voor de Autoriteit Persoonsgegevens (van 2 naar 3) omdat de AP bij ook extra taken en verantwoordelijkheden krijgt.
Invoering 25 mei 2018
De Uitvoeringswet AVG gaat nu naar de Eerste Kamer. Als de senatoren ook instemmen, is het de bedoeling dat deze wet op 25 mei 2018 ingaat, samen met de inwerkingtreding van de Europese regels.
AVG VOOR HR: Kijk hier wat je nog moet regelen!