blog

    Privacy op de werkvloer; een update

    Ton HendriksPublicatiedatum: 4 december 2015
    Privacy op de werkvloer; een update

    Inleiding

    Er zijn volop ontwikkelingen op het gebied van de bescherming van persoonsgegevens. In deze blog sta ik stil bij de wijzigingen per 1 januari 2016, de Wet meldplicht datalekken, de uitbreiding boetebevoegdheid College Bescherming Peroonsgegevens (CBP) en ten slotte bij de pre-employment screening van personeel.

    Meldplicht datalekken

    Op 1 januari 2016 zal de Wet meldplicht datalekken en uitbreiding boetebevoegdheid CBP in werking treden. Deze nieuwe wet leidt tot een aanpassing van de Wet bescherming persoonsgegevens (Wbp). De meldplicht datalekken houdt in dat organisaties die persoonsgegevens verwerken een melding moeten doen bij de privacytoezichthouder zodra zich een ernstig datalek voordoet. Als het datalek waarschijnlijk ongunstige gevolgen zal hebben voor betrokkenen zal de organisatie ook hen moeten informeren. Bij een datalek is sprake van een inbreuk op de beveiliging waardoor persoonsgegevens zijn blootgesteld aan verlies of onrechtmatige verwerking. Voorbeelden van datalekken zijn: een kwijtgeraakte USB-stick met persoonsgegevens, een gestolen laptop of een inbraak in een databestand. Of organisaties verplicht zijn om een melding van een datalek te doen, hangt af van de ernst van het datalek. De ernst wordt onder meer bepaald door het soort persoonsgegevens dat is gelekt. Een datalek moet volgens de wet bij de toezichthouder worden gemeld als dit “leidt tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens”.

    Boetes

    De wetgever heeft ook besloten de sanctiemogelijkheden van het CBP te versterken om zo de naleving van de Wbp te bevorderen. Als sprake is van een overtreding van de Wbp die opzettelijk is gepleegd of het gevolg is van ernstig verwijtbare nalatigheid, kan de toezichthouder direct een boete opleggen. In andere gevallen gaat hier een bindende aanwijzing aan vooraf. Uitgangspunt bij het bepalen van de hoogte van een boete is dat deze in verhouding moet staan tot de begane overtreding. De boetes zijn ingedeeld in categorieën en kunnen oplopen tot zelfs EUR 810.000,-. Daarnaast geeft het CBP in de beleidsregels inzicht in de relevante factoren die bepalend zijn voor de hoogte van een boete in een concreet geval. Naast deze nieuwe boetebevoegdheid houdt het CBP de bevoegdheid om een last onder dwangsom op te leggen.

    Pre-employment screening personeel

    Vooral bij het inlenen van flexkrachten vereisen opdrachtgevers vaak een zogenoemde pre-employment screening. Een dergelijke screening mag echter niet zomaar. Alvorens over te kunnen gaan tot het uitvoeren van een pre-employment screening, moet men zich ervan vergewissen dat sprake is van een gerechtvaardigd belang. Dit kan bijvoorbeeld het geval zijn indien de werknemer met (vertrouwelijke) financiële gegevens zal gaan werken. Daarnaast dient het voornemen tot een screening te worden gemeld bij het CBP. In het bijbehorende voorafgaande onderzoek bekijkt het CPB tevens of de doeleinden van de screening welbepaald, uitdrukkelijk omschreven en gerechtvaardigd zijn, of de gegevens niet langer bewaard worden dan noodzakelijk, of er niet te veel wordt verzameld en of geheimhouding gewaarborgd is.

    Tot slot

    Zeker nu het CBP (vanaf 1 januari 2016 overigens genaamd: Autoriteit Persoonsgegevens) hogere boetes kan gaan opleggen, heb je als werkgever een nog groter belang bij het naleven van de Wbp. Blijf alert en trek tijdig aan de bel.