Deze website maakt gebruik van cookies. Klik hier voor meer informatie.

Werkgever, u moet (soms) een DPIA maken!

De Algemene Verordening Gegevensbescherming (AVG), wie kent haar niet, heeft in 2018  veel stof doen opwaaien en vervolgens werd het stil. Was het een hype?  Misschien een beetje, maar er wordt nu door de Autoriteit Persoonsgegevens (AP) een strenge verplichting in het leven geroepen waar een werkgever op verdacht moet zijn. De werkgever moet namelijk in voorkomende gevallen een DPIA (Data Protection Impact Assessment) uitvoeren. Een DPIA is een instrument om vooraf de privacyrisico’s van een gegevensverwerking in kaart te brengen.

Wanneer moet u een DPIA opstellen?

Als u vermoedens hebt van diefstal door een werknemer overweegt u misschien een verborgen camera te plaatsen. Dat is ook vaak de enige manier om te achterhalen wat er aan de hand is op de werkvloer. Hetzelfde kan gelden voor controle door een particuliere detective bij de werknemer die zegt ziek te zijn. Wellicht overweegt u om het e-mail- en internetgebruik met filters te controleren. Of misschien bent u van plan een kloksysteem in gebruik te nemen dat werkt middels de vingerafdruk van uw werknemers. Voorafgaand aan al dit soort privacygevoelige acties (en bij vele andere in de lijst genoemde situaties) moet u eerst een gegevensbeschermingseffectbeoordeling (dat is een DPIA) houden. Dat blijkt uit de definitieve lijst van verwerkingen van persoonsgegevens waarvoor een DPIA uitgevoerd moet worden, die de AP op 27 november 2019 heeft gepubliceerd.

Deze lijst is overigens niet volledig. U moet in alle gevallen waarin een verwerking van persoonsgegevens waarschijnlijk een hoog privacyrisico oplevert een DPIA uitvoeren.

Wat staat erin?

In een DPIA moet onder andere worden beschreven welke gegevensverwerkingen u waarom denkt te verrichten en (wanneer van toepassing) welk gerechtvaardigd belang u meent te hebben voor die verwerking. Ook moet u aandacht hebben besteed aan de proportionaliteit van de verwerking: kon het niet op een andere manier die minder privacygevoelig is? Wanneer uit de DPIA blijkt dat mogelijk privacyrisico’s bestaan dan moet u aantonen hoe u deze risico’s zoveel mogelijk beperkt.

Lukt het u niet om (voldoende) maatregelen te vinden om dit risico te beperken? Dan moet u met de AP  overleggen voordat u met de verwerking start. Dit wordt een voorafgaande raadpleging genoemd en de wettelijke behandeltermijn hiervoor is 14 (!) weken.

U hoeft zo’n DPIA niet te publiceren (de AP raadt dit overigens wel aan), maar u moet wel kunnen aantonen dat u erover heeft nagedacht en dat u een en ander schriftelijk heeft vastgelegd. Als u dat niet kunt doen en de AP komt langs, riskeert u een sanctie, mogelijk zelfs een boete van enkele tonnen.

Kans op stevige boete

Mocht u zich afvragen of de kans van AP-bezoek in uw geval reëel is, bedenk dan dat een werknemer die ontslagen wordt op basis van de filmbeelden (verkregen met een verborgen camera) snel geneigd zal zijn bij de AP een klacht in te dienen. Ook kan de AP zelf besluiten, mogelijk op basis van gepubliceerde rechterlijke uitspraken, uw werkgeverspraktijken te onderzoeken. De AP is bevoegd bij u de DPIA op te vragen en als u dan niets kunt laten zien (terwijl vaststaat dat u een camera had geplaatst of andere gegevensverwerking uitvoerde met een hoog risico), bent u de klos. De AP heeft onlangs beleidsregels vastgesteld met betrekking tot de hoogte van de boetes die zij op zal leggen. Op het niet nakomen van de verplichting om een DPIA uit te voeren staat een boete van tussen € 120.000 en € 500.000. 

Kortom, mocht u zich genoodzaakt zien om heimelijk onderzoek te doen of uw werknemers te controleren, of mochten er binnen uw organisatie andere gegevensverwerkingen plaatsvinden waarvoor (u vermoedt dat) een DPIA noodzakelijk is, bel ons eerst, zodat wij samen met u een DPIA, die aan alle vereisten voldoet kunnen uitvoeren. U kunt contact opnemen met Eef van de Wiel of Rick Hemstra

ONZE MENSEN VAN A TOT Z//
  • Incasso debiteuren, regel het goed! NAAR NIEUWS//
  • Automatisch gezag bij erkenning?
  • Restschuld na crisis; kan ik mijn bank daarvoor verantwoordelijk houden?
  • Geen huwelijkse voorwaarden? Toch blijft privé, wat privé was.
  • Ontslag nemen, lagere alimentatie?
  • Belangrijke termijn voor werknemers bij ontslag op staande voet
  • Dienstverband laten ‘slapen’ om geen transitievergoeding te hoeven betalen, is toegestaan
  • Twaalf jaar partneralimentatie?
  • Van twee naar vier ouders?
  • Overlast door huurders: wat vindt het Gerechtshof daarvan?
  • De failliete huurder: leegstandschade en de bankgarantie
  • Wetsvoorstel UBO-register omvat nieuwe ‘terugmeldingsplicht’ Wwft-instellingen
  • Is uw gedragsverklaring aanbesteden nog geldig?
  • Een werknemer met twee dienstverbanden? Houd rekening met de Arbeidstijdenwet!
  • Strafvervolging voor bestuurder van beboete rechtspersoon
  • Nieuw ROZ-model huurovereenkomst voor woonruimte
  • Het adviesrecht van de ondernemingsraad in geval van faillissement
  • Transitievergoeding ook verschuldigd bij dienstverband van exact 24 maanden
  • Onteigening Hedwigepolder: gaat de Hoge Raad om?
  • Koop breekt geen huur (maar soms wel in stukjes)
  • UAV-GC 2005: (gevolgen van) onvoorziene omstandigheden?
  • Parfums voor € 30,-. Moet Bol.com leveren?
  • Provincie Fryslân kan door met inpassingsplan
  • Valse reviews op internet: niet zonder consequenties
  • Transitievergoeding bij langdurig arbeidsongeschiktheid: geld terug?
  • Onteigening Hedwigepolder: Hoge Raad bevestigt rechtbankvonnis
  • Natrekking versus wegbreekrecht; voor wie gaat de zon op?
  • Nederlands huurstelsel niet in strijd met het eigendomsrecht
  • Belangrijk arrest HvJ EU over toepassing van de Dienstenrichtlijn bij bestemmingsplanregels over detailhandel
  • Goodwill valt niet onder tegemoetkoming in verhuis- en inrichtingskosten bij dringend eigen gebruik
  • De statutair directeur (deel 1) – Benoeming en indiensttreding
  • Overheid wil het aantal vechtscheidingen terugdringen
  • De statutair directeur (deel 2) – Ontslag: geen ontslagbescherming, maar niet vogelvrij
  • Verborgen camera’s: diefstal op de werkvloer NAAR NIEUWS//
  • De meest gestelde vragen over de AVG: deel 1 – Minder dan 250 werknemers: toch een verwerkingsregister bijhouden? NAAR NIEUWS//
  • De meest gestelde vragen over de AVG: deel 2 – Toestemming niet altijd nodig NAAR NIEUWS//
  • Bankbreuk; wat is dat eigenlijk? NAAR NIEUWS//
  • Wetsvoorstel Wet arbeidsmarkt in balans: wat verandert er? Wetsvoorstel Wet arbeidsmarkt in balans: wat verandert er?
  • Trip Advocaten & Notarissen trekt opnieuw ervaren juristen aan
  • Een brancheringsregeling in een bestemmingsplan: Mag dat?
  • Heeft u al een privacystatement voor uw werknemers?
  • Kwijtschelden van studiekosten kost u mogelijk meer dan u denkt
  • Mijn werknemer heeft schulden. Wat nu?
CONTACT Eef van de Wiel
LEEUWARDEN Rick Hemstra