Is jouw arbodienstverlening AVG-proof?
De Algemene Verordening Gegevensbescherming (AVG) gaat per 25 mei in. De AVG, in de rest van de EU ook wel General Data Protection Regulation (GDPR) genoemd, vervangt de huidige Wet Bescherming Persoonsgegevens (WBP). Wat is de impact van deze nieuwe wet op de arbozorg van jouw organisatie? Moet je nu actie ondernemen? Op onder andere deze vragen geven we in dit artikel antwoord.
Waarom is de AVG van belang?
De Europese Unie wil inwoners beter beschermen en daarom wordt deze nieuwe wet van kracht. De AVG verschilt op een paar punten van de WBP. Zo moeten organisaties straks meer duidelijkheid geven over welke gegevens ze verzamelen, waarom en hoelang.
Overgangsperiode WBP en AVG
In 2016 is de AVG in werking getreden, maar de nieuwe privacywet geldt pas vanaf 25 mei 2018. Deze lange overgangsperiode is nodig zodat iedereen zich kan voorbereiden op de AVG.
Wanneer is er sprake van persoonsgegevens?
Er is al snel sprake van persoonsgegevens. Denk aan IP-adres, woonplaats, mailadres of telefoonnummer. Naast deze algemene persoonsgegevens zijn er ook bijzondere persoonsgegevens, zeker in de wereld van Arbo, Preventie en Verzuim.
Zo registreer je als werkgever bijvoorbeeld de ziekmelding in je HR-systeem, geef je deze door aan de arbodienst en bouw je een verzuimdossier op.
De arbodienst op haar beurt verwerkt ook nog eens de medische gegevens van jouw medewerkers. Zoals er in een eerder artikel is benoemd, staat er alleen al in de offerte veel persoonlijke informatie. Het is belangrijk dat er zorgvuldig met deze informatie en persoonsgegevens wordt omgegaan. Zowel de werkgever als de dienstverleners moeten dus hun verantwoordelijkheid nemen bij het omgaan van al deze data.
Keuzestress? Vergelijk gratis de beste 45 arbodiensten
Jij vertelt wat je zoekt, wij regelen de rest
✓ De beste arbodiensten al voor je geselecteerd
✓ Enige onafhankelijke arbodienst vergelijkingssite
✓ Persoonlijk advies van dé arbo experts
✓ Meer dan 21.462 klanten
✓ Snel 3 offertes van de beste arbodiensten
Wat mag je als organisatie wel en wat niet?
- Gegevens delen met de arbodienst: jij als werkgever mag niet informeren naar de oorzaak van de ziekte van de werknemer. Alleen de bedrijfsarts (en onder zijn taakdelegatie wellicht ook een casemanager) mag deze medische gegevens uitvragen en verwerken. De gegevens die je kan delen met de arbodienst zijn de naam, het adres en telefoonnummer van de medewerker.
- Gegevens die de bedrijfsarts mag delen met de werkgever: de bedrijfsarts kan een advies geven over de mogelijkheden van de medewerker. Op basis hiervan kan de werkgever samen met de medewerker bekijken wat voor werkzaamheden de medewerker wel kan doen.
- Wat de werkgever mag vragen aan de zieke medewerker: je mag alleen gegevens vragen die noodzakelijk zijn om te kunnen beoordelen hoe het verder moet met de werkzaamheden van de medewerker. Te denken valt aan wanneer een medewerker weer verwacht op het werk te zijn en of er nog lopende afspraken zijn waarmee iets moet gebeuren. Ook mag de werkgever vragen naar het telefoonnummer waarop de medewerker te bereiken is en naar het adres.
Wat betekent de AVG voor mij als organisatie?
Elke werkgever heeft een verantwoordingsplicht en moet dus in een verwerkingsregister vastleggen welke persoonsgegevens je hebt en met welk doel. De gegevensuitwisselingen met de arbodienst zullen dus in dit register opgenomen moeten worden. Ook moet je aantonen dat je aan de AVG voldoet. Zorg er dus voor dat je een overzicht hebt van beleid en documenten die aangeven dat je de juiste organisatorische maatregelen hebt genomen om de privacy en de veiligheid van de gegevens te beschermen.
Moet ik nu actie ondernemen?
Waarschijnlijk wel, want alleen zeggen dat je gegevens beschermt of dat je een privacybeleid hebt is niet genoeg. Je moet kunnen bewijzen dat je er als organisatie alles aan gedaan hebt om zorgvuldig om te gaan met persoonlijke gegevens. Zo kan je als bijvoorbeeld arbodienst vastleggen hoe je de gegevens verwerkt. Dit is belangrijk, aangezien er sancties zijn als je het niet op orde hebt.
Wat als ik het niet op orde heb?
De Autoriteit Persoonsgegevens (AP) kan een boete van maximaal 20 miljoen euro opleggen. Er zijn twee categorieën overtredingen, waarbij verschillende soorten boetes horen.
- De eerste is dat verantwoordelijken onder de AVG bepaalde verplichtingen hebben, zoals bijvoorbeeld de verantwoordingsplicht. Verantwoordelijken zijn organisaties die persoonsgegevens verwerken. Zodra de organisaties de verplichtingen niet nakomen, kan de AP een boete van maximaal 10 miljoen euro opleggen of een boete van 2% van de wereldwijde jaaromzet. Dit laatste gebeurt alleen als het bedrag hoger uitkomt dan de eerder genoemde 10 miljoen.
- De tweede geldt zodra een verantwoordelijke de beginselen of grondslagen van de AVG overtreedt of privacyrechten van de betrokkenen. Betrokkenen zijn mensen van wie de organisatie gegevens verwerkt. De AP kan een boete opleggen van maximaal 20 miljoen euro of een boete van 4% van de wereldwijde jaaromzet. Dit laatste gebeurt alleen als het bedrag hoger uitkomt dan de eerder genoemde 20 miljoen.
Tenslotte
Het is dus belangrijk dat je bewust omgaat met data. Ben jij al klaar voor de AVG? Wil je meer informatie over de AVG? Klik dan hier.