Iedere organisatie beschikt over privacygevoelige informatie. Hoe moet worden omgegaan met deze informatie verschilt echter per branche. Ook de spelers in de bouw krijgen in de praktijk te maken met privacy. Zowel op het gebied van HR (personeelsdossiers), marketing (contactpersonen) als bij eventuele natuurlijke personen als klant is sprake van verwerking van persoonsgegevens. In dit artikel worden de belangrijkste privacy verplichtingen van de spelers in de bouw toegelicht.
Op 25 mei 2018 treedt de Algemene Verordening Gegevensbescherming in werking. De AVG brengt een aantal aanvullende verplichtingen met zich mee, bovenop de huidige privacywetgeving.
Aantoonbaar privacy-compliant
De AVG legt de nadruk op de verantwoordelijkheid van organisaties bij de verwerking van persoonsgegevens. De spelers in de bouw dienen aantoonbaar privacy-compliant te zijn. Dit betekent dat de spelers in de bouw om te voldoen aan hun verantwoordingsplicht beleid moeten implementeren ten aanzien van privacy.
Een van de documenten die (in veel gevallen) moet worden bijgehouden is het register van verwerkingsactiviteiten. Hierin moet informatie worden opgenomen over de persoonsgegevens die de organisatie verwerkt. Organisaties met meer dan 250 werknemers zijn verplicht om een register bij te houden. De verplichting kan echter ook bestaan voor organisaties met minder dan 250 werknemers, bijvoorbeeld als zij op grote schaal bijzondere persoonsgegevens verwerken.
Noodzakelijkheidseis
De AVG bepaalt dat alleen persoonsgegevens die noodzakelijk zijn, mogen worden verwerkt, conform een vooraf bepaald doel. Daarnaast dient de gegevensverwerking te worden gebaseerd op een in de AVG genoemde grondslag. Dit houdt in dat de spelers in de bouw zich af moeten vragen:
- welke persoonsgegevens zij verwerken;
- op grond waarvan zij dit doen;
- voor welk doel; en
- of de verwerking van die specifieke gegevens daadwerkelijk noodzakelijk is.
Voor de spelers in de bouw geldt bijvoorbeeld dat zij moeten afwegen hoe lang zij klant- en personeelsgegevens (mogen) bewaren.
Functionaris voor de gegevensbescherming
De spelers in de bouw kunnen verplicht zijn een functionaris voor de gegevensbescherming aan te stellen (FG). Dit is iemand die binnen de organisatie toezicht houdt op de toepassing en naleving van de AVG. Dit is met name verplicht (dan wel aan te raden) bij grote organisaties.
Gegevensbeschermingseffectbeoordeling
Ten slotte kunnen de spelers in de bouw verplicht zijn een gegevensbeschermingseffectbeoordeling uit te voeren. Dit is een hele mond vol, maar het komt er in de kern op neer dat de privacy risico’s van gegevensverwerkingen in kaart moeten worden gebracht (door middel van een assessment). Dit geldt alleen indien een verwerking waarschijnlijk een hoog privacyrisico oplevert voor de betrokkenen, namelijk de personen van wie de organisatie gegevens verwerkt.
De AVG geeft aan dat een beoordeling nodig kan zijn bij het gebruik van nieuwe technologie.
Afsluiting
De spelers in de bouw dienen er vóór 25 mei 2018 voor te zorgen dat hun beleid privacy-proof is. Door privacybeleid te implementeren voldoet u aan de vereisten van de AVG, en zorgt u ervoor dat uw organisatie zorgvuldig omgaat met persoonsgegevens. Op die manier kunt u problemen, boetes en reputatieschade voorkomen.
Heeft u vragen over de vereisten van de AVG of het implementeren van privacybeleid? Neem dan contact op met team Gegevensbescherming & Privacy.
Februari 2018
