De afkorting AVG staat voor Algemene Verordening Gegevensbescherming. Deze verordening vervangt vanaf 25 mei 2018 de Wet Bescherming Persoonsgegevens en is de Nederlandse invulling van de Europese regels op privacy-gebied die bekend staan onder de afkorting GDPR (General Data Protection Regulation). Voor de introductiedatum is er veel publiciteit geweest over de AVG. Dit werd vooral ingegeven door de veel hogere boetes die de AVG in het vooruitzicht stelt (4% van de concernomzet met een maximum van 20 miljoen euro) ten opzichte van Wet Bescherming Persoonsgegevens. De toezichthoudende instantie op de AVG is de Autoriteit Persoonsgegevens ofwel AP.
Belangrijkste nieuwe dingen in de AVG zijn de meldingsplicht bij een datalek en het Verwerkingsregister dat bedrijven met meer dan 250 werknemers moeten hebben. Daarin moet van elk persoonsgegeven dat wordt bijgehouden worden aangegeven met welk doel het wordt bijgehouden en wat de rechtvaardigingsgrond is voor het bijhouden van dat gegeven. De belangrijkste rechtvaardigingsgronden zijn “toestemming van de gebruiker”, “wettelijke verplichting” en “gerechtvaardigd belang”. Ook moeten bedrijven met meer dan 250 werknemers of die bijzondere gegevens verwerken een Functionaris Gegevensbescherming (FG) aanstellen. Zie ook de pdf: AVG in een notendop
Werden er voor de invoering van de AVG nog nauwelijks boetes uitgedeeld, daarna is dat wel anders. Zie voor een overzicht https://www.dailybits.be/item/overzicht-gdpr-boetes-rechtszaken/#NL. Een van de meest in het oog springende is de boete van €725.000 op 30 april 2020 aan een anoniem gebleven bedrijf voor het gebruik van vingerafdrukscans bij een tijdregistratiesysteem. Het bedrijf had hiervoor niet op de juiste manier toestemming gevraagd aan de werknemers, waarbij ook werd aangetekend dat de rechtvaardigingsgrond “toestemming” alleen geldig is wanneer je als werkgever kunt aantonen dat een werknemer toestemming kan weigeren zonder angst of reële dreiging van nadelige gevolgen vanwege de weigering. (Lees: zonder het risico zijn baan te verliezen.) In de praktijk betekent dit vaak dat er werknemers moeten zijn die geen toestemming hebben gegeven en die toch nog steeds bij je werken. Mocht je met zoiets als vingerafdrukscanners willen gaan werken, denk er dan ook aan eerst een DPIA (Data Protection Impact Assessment) uit te (laten) voeren en instemming te vragen aan de Ondernemingsraad of Personeelsvertegenwoordiging. Het lijkt erop dat de tijd op dit moment (2020) nog niet rijp is voor dergelijke systemen, maar dat kan natuurlijk veranderen.
Een praktisch artikel over de privacy-impact van diverse maatregelen en handelswijzes voor personeel is Privacy van uw medewerkers, maar dan concreet.