De nieuwe Europese privacywetgeving stelt dat sommige bedrijven binnenkort een privacyfunctionaris nodig hebben. Wat doet deze persoon precies?
Vanaf 25 mei 2018 geldt de Algemene verordening gegevensbescherming (AVG). De Wet bescherming persoonsgegevens (WBP) vervalt dan. De AVG verplicht een deel van het bedrijfsleven en de overheid een privacyfunctionaris aan te stellen. Dat geldt onder meer voor organisaties die op grote schaal met bijzondere persoonsgegevens verwerken. Daarnaast kan een organisatie ook vrijwillig een privacyfunctionaris aanstellen.
Wat doet een privacyfunctionaris?
Wat doet de privacyfunctionaris precies? De functionaris ziet toe op de naleving van de privacywetgeving. Hij informeert en adviseert de organisatie, is het aanspreekpunt voor de toezichthouder en voert risicoanalyses uit.
Ook moet de privacyfunctionaris toezicht houden op alle situaties waarin persoonsgegevens worden beheerd. Denk aan het verwerken, maar ook aan het verspreiden ervan. Dat geldt ook voor de verwerking van persoonsgegevens van werknemers, bijvoorbeeld binnen de salarisadministratie en het HRM-systeem.
Zo kan de functionaris een Privacy Impact Assesment (PIA) gebruiken. Dit is een onderzoek naar de privacyrisico’s die binnen de organisatie spelen en de maatregelen die nodig zijn om die te beperken. Het is aan te raden om eenmalig alle procedures waarbij persoonsgegevens worden verwerkt aan een PIA te onderwerpen, voordat op 25 mei 2018 de AVG van kracht wordt. Van elke PIA moet een schriftelijk verslag worden vastgelegd.
Software moet voldoen aan ‘privacy by design’
Volgens de AVG moet alle software die organisaties gebruiken om persoonsgegevens te verwerken voldoen aan ‘privacy by design’. Dat betekent dat zo min mogelijk persoonsgegevens worden verwerkt, dat zo min mogelijk personen er toegang toe hebben en de gegevens zo kort mogelijk worden bewaard. Ook de ondernemingsraad heeft hierin een grote rol.
Organisaties die al gebruik maken van HRM-software zullen relatief weinig moeite hebben om te voldoen aan deze eis van privacy by design. Het systeem is na installatie zodanig geconfigureerd dat persoonsgegevens alleen toegankelijk zijn voor de juiste personen. Hierdoor kunnen organisaties dankzij e-HRM sneller voldoen aan de nieuwe Europese privacywetgeving.
De organisatie moet documenten hoe de functie wordt vervuld
De functie mag parttime worden vervuld, of door een externe deskundige worden uitgevoerd. De persoon moet echter vanuit een onafhankelijke positie verslag uit kunnen brengen aan de hoogst verantwoordelijke binnen de organisatie.
Daarnaast moet de organisatie documenteren hoe deze functie wordt vervuld. Bijvoorbeeld hoe de onafhankelijkheid van de privacyfunctionaris wordt gewaarborgd en hoe deze wordt geïnformeerd over alle processen waarbinnen persoonsgegevens worden verwerkt. Dat kan bijvoorbeeld door aanwezigheid bij relevante vergaderingen en regelmatig overleg met relevante personen. (Bron: PW de Gids)
> Lees ook Persoonsgegevens in Excel-sheet verboden
