25 jan '18 17:45Aangepast op 11 mrt '18 21:30

Nationaal Debat Privacy en arbeidsmarkt

Auteur: Sjors Rodenburg

25 mei is een belangrijke dag voor het Nederlandse bedrijfsleven. Vanaf die dag worden de nieuwe privacyregels van de Algemene Verordening Gevevensbescherming (AVG) nageleefd.

De AVG heeft ook flinke gevolgen voor de arbeidsmarkt, bijvoorbeeld voor het aannemen en inlenen van professionals. En dat leidt tot zenuwen op menig afdeling personeelszaken in Nederland, bleek bij het Nationale Debat Privacy en Arbeidsmarkt op dinsdag 6 maart in café-restaurant Dauphine.

Een kleine steekproef in de zaal leert dat geen van de aanwezige bedrijven al helemaal klaar is voor handhaving van de AVG. Bijna vier op de tien bedrijven zegt de deadline van 25 mei te gaan halen, maar bij het grootste deel van de aanwezigen is dat nog maar de vraag.

Zorgen

Moeten zij zich zorgen maken? ‘Dat hangt ervan af’, nuanceert Aleid Wolfsen. Als voorzitter van de Autoriteit Persoonsgegevens is hij straks verantwoordelijk voor de handhaving van de wet. Met zijn collega’s bepaalt hij welke bedrijven boetes krijgen opgelegd voor het niet voldoen aan de regelgeving.

‘Je moet je onrustig maken als je het op dit moment al niet zo nauw neemt met de Wet bescherming persoonsgegevens. Die wet geldt nu, en als je keurig volgens die wet werkt, dan is het puntjes op de i zetten in relatie tot de AVG. Als je dacht: die Wet bescherming persoonsgegevens, dat zal allemaal wel. Dan heb je een serieuze kwestie.’

Behoorlijkheidsnorm

Wat die puntjes op de i concreet inhouden, is niet voor iedereen duidelijk. Het blijft wat vaag welke gegevens je mag verzamelen, zegt Jaap-Henk Hoepman, wetenschappelijk directeur van het Privacy & Identity Lab. Hij legt uit dat bedrijven moeten aangeven met welk doel ze gegevens verzamelen. De verzamelde gegevens moeten in verhouding staan tot dat doel. ‘Maar hoe ga je bepalen of een doel legitiem is?’

‘Gegevens moeten rechtmatig, transparant, proportioneel, maar vooral ook behoorlijk worden verwerkt’, stelt zijn tafelgenoot Jeroen Terstegge, voorzitter van de Privacycommissie van VNO-NCW en MKB-Nederland. ‘Het gaat over wat maatschappelijk behoorlijk is. Dat bepaalt in eerste instantie het bedrijf dat een zogenoemde “privacy impact assessment” doet. In tweede instantie is dat de toezichthouder, als die het daar niet mee eens is. En in derde instantie de rechter.’

Hoepman: ‘Hier is het probleem geschetst. Nu moeten goede kaders gesteld worden: wanneer is iets behoorlijk? Want de kracht of de zwakte van de AVG zal afhangen van waar je die grens legt.’

Ziekte

Aleid Wolfsen reageert: ‘Veel hangt weer af van het type werk dat je doet.’ Dan, concreter: ‘Geboorte, rekeningnummer en burgerservicenummer mag je vragen van je personeel, want dat is nodig voor de salarisadministratie.’ Maar bij medische gegevens ligt een grens. ‘Want de werkgever is niet de dokter.’

Daarmee snijdt hij een gevoelig punt aan. ‘Wij hebben de verplichting om te zorgen dat medewerkers die ziek worden zo snel mogelijk weer aan het werk zijn’, zegt een ondernemer in de zaal. ‘We vinden het belangrijk te weten wat er aan de hand is, om in te schatten hoe zwaar iemand belast kan worden. Maar dat mogen we dus niet vragen. Hoe moeten we dat oplossen?’

Een duidelijk antwoord blijft uit. Dat zit ook Jeroen Terstegge dwars, van werkgeversorganisatie VNO-NCW. ‘Eigenlijk willen wij dat de minister van Sociale Zaken hiermee aan de slag gaat, maar die verwijst naar de Autoriteit Persoonsgegevens. Ik zou graag samen met Aleid Wolfsen naar de minister gaan om hierover te spreken.’

Wolfsen, formeel wetgevingsadviseur als voorzitter van de Autoriteit Persoonsgegevens, doet een voorzichtige toezegging: ‘Dat kan zeker, als dat nodig is en er onduidelijkheid blijft.’

Kans

Hoewel het belangrijk is om precies te weten wat er onder de AVG is toegestaan, moeten bedrijven niet te vergeten dat de nieuwe privacyregels ook grote kansen bieden, vindt Hans Bos, national technology officer bij Microsoft Nederland. ‘Schiet niet in een kramp’, is zijn advies. ‘Want als je het hebt over goed werkgeverschap… je hield toch altijd al rekening met de privacysfeer van je medewerkers? Er blijven heel veel mogelijkheden om te innoveren, maar wel met gezond verstand.’

Floris van den Dool, directeur Information Security bij Accenture, vindt dat ook. Hij wijst op de digitalisering die bedrijven doorvoeren in hun relatie met klanten, leveranciers en werknemers. Om die digitalisering in goede banen te leiden is vertrouwen van alle betrokkenen van fundamenteel belang, stelt Van den Dool. ‘Ik denk dat deze wetgeving kan helpen bij die “digital trust”. Dat gaat je in staat stellen om die digitalisering verder door te voeren.’

Opleiding personeel

Yvette van Gemerden noemt nog een ander punt waarop HR-directeuren een grote rol spelen bij het voldoen aan de AVG. Want bij het kennisniveau van werknemers gaat het volgens haar vaak mis. ‘Als zij niet goed op de hoogte zijn van wat ze moeten doen, bijvoorbeeld in het geval van een datalek, dan gaat het fout.’ Een goede training van de werknemers is dus van belang. ‘Niet alleen nu, maar ook na 25 mei.’

Sprekers

Hans Bos

Hans Bos is National Technology Officer bij Microsoft Nederland. In die functie probeert hij Nederland de mogelijkheden van technologie te laten benutten om te groeien, te verbeteren en te vernieuwen. Eerder werkte Bos als marketeer bij Oracle en Cyco, het softwarebedrijf van Vincent Everts.

Floris van den Dool

Floris van den Dool geeft leiding aan de afdeling Information Security van Accenture in Europa, Afrika en Latijns-Amerika en staat bedrijven bij om op dit vlak aan de regelgeving te voldoen. Daarnaast is hij parttime docent bij de post-master IT-Auditing & Advisory aan de Erasmus Universiteit in Rotterdam.

Yvette van Gemerden

Yvette van Gemerden is partner binnen de Legal Services-praktijk van PwC. Zij is expert privacyrecht en adviseert vooraanstaande internationale bedrijven over strategische kwesties op dit vlak. Voordat zij in 2014 begon bij PwC, was ze gedurende achttien jaar advocaat.

Jaap-Henk Hoepman

Jaap-Henk Hoepman doceert computerwetenschappen aan de Radboud Universiteit in Nijmegen en is wetenschappelijk directeur van het Privacy & IdentityLab. Hij schrijft eens in de zes weken een column in het FD over nieuwe technologie en wat ondernemers en werknemers hiermee kunnen.

Jeroen Terstegge

Jeroen Terstegge is voorzitter van de Commissie Privacy van werkgeversorganisaties VNO-NCW en MKB-Nederland. In 2006 ontving hij de prestigieuze IAPP Privacy Innovation Award voor pionierswerk op het gebied van de bescherming van persoonsgegevens in multinationale ondernemingen.

Aleid Wolfsen

Aleid Wolfsen is sinds 2016 voorzitter van de Autoriteit Persoonsgegevens. Daarvoor was hij al verbonden aan de autoriteit als lid van de raad van advies. Eerder kreeg hij bekendheid als Tweede Kamerlid voor de PvdA (2002-2008) en burgemeester van Utrecht (2008-2013).

Presentator

Rens de Jong

Rens de Jong is journalist. Als presentator van BNR Nieuwsradio, debatleider en dagvoorzitter weet hij altijd het beste bij zijn gasten naar boven te halen. Tot juni 2011 was hij adjunct-hoofdredacteur van BNR. Daarvoor werkte De Jong onder andere voor de NOS en AT5. Meer...


Deel dit artikel

Gerelateerde artikelen