artikel

Privacy van A tot Z

Veilig werken

Wat moeten arboprofessionals met privacywetgeving? Meer dan u wellicht denkt. Want er zijn veel raakvlakken tussen veilig en gezond werken en privacy.

Privacy van A tot Z

Denk maar eens aan het gebruik van gegevens van zieke werknemers bij verzuim. Of de registratie van gegevens via wearables als smart watches en polsbandjes. Zoals op welk moment van de dag een medewerker het best presteert. En of hij wel lang genoeg pauze houdt. Of meer richting security: cameratoezicht en toegangsbeveiliging.

(update 5-3-2018)

Privacy van A tot Z

Op 25 mei 2018 wordt de Algemene verordening gegevensbescherming (AVG) van toepassing. Nieuwe wetgeving, nieuwe begrippen. Kent u de privacy van A tot Z? Check het in dit alfabet.

Algemene verordening gegevensbescherming (AVG)
Per 25 mei 2018 is de Algemene verordening gegevensbescherming (AVG) van toepassing. Dat betekent dat er vanaf die datum dezelfde privacywetgeving geldt in de hele Europese Unie (EU)

> LEES OOK: Beknopt overzicht wet- en regelgeving 2018

Artikel 88 EU-AVG
Het artikel van de Algemene verordening gegevensbescherming dat betrekking heeft op de verwerking van persoonsgegevens in het kader van de arbeidsverhouding.

Autoriteit Persoonsgegevens (AP)
Voorheen College Bescherming Persoonsgegevens. Houdt toezicht op de naleving van de wettelijke regels voor bescherming van persoonsgegevens en adviseert over nieuwe regelgeving. Ook kan de AP bij overtredingen handhavend optreden, onder andere door het opleggen van boetes.

> LEES OOK: Dwangsom voor privacyschending bij verzuim

Beveiligingslek
Als alleen sprake is van een zwakke plek in de beveiliging, spreken we van een beveiligingslek en niet van een datalek. U hoeft dan geen melding te doen aan de Autoriteit Persoonsgegevens.

Bewaartermijn
U mag gegevens niet langer bewaren dan nodig is. De Wet bescherming persoonsgegevens (WBP) geeft geen concrete bewaartermijn voor persoonsgegevens. De verantwoordelijkheid ligt bij de organisaties. Zij moeten bepalen hoe lang de gegevens nodig zijn voor het doel waarvoor deze zijn verzameld of worden gebruikt. Na het verloop van de bewaartermijn moeten de persoonsgegevens worden vernietigd.
Organisaties mogen persoonsgegevens in een archief bewaren als dit bestemd is voor historische, statistische of wetenschappelijke doeleinden.

Bijzondere persoonsgegevens
Gevoelige gegevens zoals godsdienst of levensovertuiging, ras, politieke gezindheid, gezondheid, seksuele leven, of informatie over het lidmaatschap van een vakvereniging. De Wet bijzondere persoonsgegevens beschermt bijzondere persoonsgegevens extra.

Cameratoezicht
Organisaties moeten cameratoezicht vooraf melden bij de Autoriteit Persoonsgegevens, tenzij er een vrijstelling geldt. Cameratoezicht voor de beveiliging van personen, gebouwen, terreinen, zaken en productieprocessen is in de regel vrijgesteld van melden op grond van artikel 38 uit het Vrijstellingsbesluit, mits het gaat om duidelijk zichtbare camera’s.

> LEES OOK: Hallo, wij houden cameratoezicht
> OOK INTERESSANT: Grenzen aan cameratoezicht

Datalek
Er is sprake van een datalek als er bij het beveiligingsincident persoonsgegevens verloren zijn gegaan, of als u onrechtmatige verwerking van de persoonsgegevens niet redelijkerwijs kunt uitsluiten. Bij een beveiligingsincident moet u bijvoorbeeld denken aan het kwijtraken van een USB-stick, de diefstal van een laptop of aan een inbraak door een hacker.

> LEES OOK: Zo houdt u hackers uit uw ict

Data protection impact assessment (DPIA)
Een instrument om vooraf de privacyrisico’s van een gegevensverwerking in kaart te brengen. Zie ook privacy impact assessment (PIA).

Data protection officer
Ziet toe op de naleving van de privacyregelgeving in een organisatie. Het is onder andere verplicht om een data protection officer aan te stellen wanneer u op grote schaal persoonsgegevens verwerkt of wanneer het observeren van mensen behoort tot uw kernactiviteiten. Overheidsorganisaties zijn volgens de AVG altijd verplicht om een data protection officer aan te stellen. Zie ook functionaris voor de gegevensbescherming of privacyfunctionaris.

Europese richtlijn bescherming persoonsgegevens
De richtlijn geeft regels voor de verwerking van persoonsgegevens en het vrije verkeer van deze gegevens. De nationale privacywetgeving van de EU-staten is gebaseerd op de Europese richtlijn bescherming persoonsgegevens. Ook bekend als Richtlijn 95 46 EG 1995.

Europese toezichthouder voor gegevensbescherming (EDPS, naar European Data Protection Supervisor)

  • Ziet erop toe dat de EU-instellingen en -organen bij de verwerking van persoonsgegevens de privacyvoorschriften in acht nemen;
  • Adviseert de EU-instellingen en -organen over de verwerking van persoonsgegevens en het beleid en de wetgeving daarover;
  • Behandelt klachten en stelt onderzoeken in;
  • Werkt samen met de nationale autoriteiten van de EU-landen om tot een uniforme gegevensbescherming te komen
  • Volgt nieuwe technologieën die gevolgen kunnen hebben voor de gegevensbescherming.

Functionaris voor de gegevensbescherming
Ziet toe op de naleving van de privacyregelgeving in een organisatie. Zie ook data protection officer of privacyfunctionaris.

Geaggregeerde data
Persoonsgegevens op zuiver geaggregeerd niveau zijn samengevoegd. Hierdoor zijn de ‘losse’ data niet meer te herleiden tot personen. Bij gebruik van zuiver geaggregeerde data zou de privacywetgeving niet gelden. Wel moet kristalhelder zijn wat het doel is van het gebruik en wat er precies met de data gebeurt. Het beslispunt over het gebruik ligt bij de medewerkers.

General Data Protection Regulation (GDPR)
Engelse benaming voor Algemene verordening gegevensbescherming.

Meldplicht datalekken
Van kracht sinds 1 januari 2016. Organisaties die een ernstig datalek hebben moeten dit sindsdien melden bij de Autoriteit Persoonsgegevens (AP) en soms ook aan de mensen van wie de gelekte gegevens zijn.

Persoonsgegevens
Informatie die ofwel direct over een persoon gaat, ofwel naar deze persoon te herleiden is. Te denken valt aan naam, adres en woonplaats, telefoonnummers en postcodes met huisnummers. Lees meer op de site van de Autoriteit Persoonsgegevens.

> LEES OOK: Privacy in het personeelsdossier: wat mag en wat mag niet?

Privacyfunctionaris
Ziet toe op de naleving van de privacyregelgeving in een organisatie. Zie ook data protection officer of functionaris voor de gegevensbescherming (FG).

Privacy impact assessment (PIA)
Een instrument om vooraf de privacyrisico’s van een gegevensverwerking in kaart te brengen. Zie ook data protection impact assessment (DPIA).

Privacywet
Nu: de Wet bescherming persoonsgegevens. Op 25 mei 2018 vervangt de Algemene verordening gegevensbescherming in de hele EU de nationale privacywetgeving (zie ook: General Data Protection Regulation).

Verwerker
Persoon, bedrijf, organisatie of overheidsinstantie die voor anderen de persoonsgegevens verwerkt. De verwerker mag de persoonsgegevens niet voor eigen doeleinden gebruiken.

Verwerkersovereenkomst
Wanneer u gebruik maakt van de diensten van een verwerker (nu nog ‘bewerker’ genoemd) bent u verplicht om een aantal onderwerpen vast te leggen in een schriftelijke overeenkomst. De volgende zaken moeten daar in ieder geval in staan:

  • een omschrijving van het onderwerp
  • de duur, de aard en het doel van de verwerking
  • het soort persoonsgegevens
  • de categorieën van betrokkenen
  • uw rechten en verplichtingen als verwerkingsverantwoordelijke (nu nog ‘verantwoordelijke’)

Verwerkingsverantwoordelijke
Deze bepaalt, alleen of met anderen, welke persoonsgegevens worden opgeslagen, waarom dat gebeurt en welke middelen daarvoor worden ingezet. De verwerkingsverantwoordelijke kan een persoon, een bedrijf, een organisatie of een overheidsinstantie zijn. De toezichthouder kan de verwerkingsverantwoordelijke aanspreken over de verwerking van persoonsgegevens. De verwerkingsverantwoordelijke is ook aanspreekpunt voor mensen om aanspraak te maken op hun rechten volgens de privacywetgeving.

Verzuim
De Autoriteit Persoonsgegevens heeft in de zomer van 2016 nieuwe beleidsregels opgesteld over gebruik van persoonsgegevens van zieke werknemers. De AP handhaaft hard op de bescherming van de privacy van zieke werknemers.

Wearables
Onder wearables verstaan we draagbare digitale meetapparatuur, zoals smart watches en polsbandjes. Er is een opmars gaande van deze gadgets richting de werkvloer. Werkgevers zien mogelijkheden op het gebied van gezondheidsprogramma’s, productiviteitsverhoging en aanwezigheids- en tijdregistratie. In Nederland stelt de AP streng paal en perk aan het gebruik van via wearables verkregen persoonsgegevens.

> LEES OOK: Werkgevers en wearables: wat mag?

Wet bescherming persoonsgegevens (Wbp)
De Nederlandse uitwerking van de Europese richtlijn bescherming persoonsgegevens. De Wbp is sinds 1 september 2001 van kracht. Op 25 mei 2018 vervangt de Algemene verordening gegevensbescherming in de hele EU de nationale privacywetgeving (zie ook: General Data Protection Regulation).

Zieke werknemers
De Autoriteit Persoonsgegevens heeft in de zomer van 2016 nieuwe beleidsregels opgesteld over gebruik van persoonsgegevens van zieke werknemers. Zij handhaaft hard op de bescherming van de privacy van zieke werknemers.

Bron: pwnet.nl

 

medische privacy_200x200_248574760> TIP: Meer weten over privacy bij ziekte?
DOWNLOAD het artikel Privacy-onrust in de polder
 

> TIP: Volg de opleiding Privacywetgeving op de werkvloer

Reageer op dit artikel