AVG: wat betekent dat voor de aannemer?

AVG: wat betekent dat voor de aannemer?

Eerst zien dan geloven, is een veelgehoord credo. De bouwsector loopt niet bepaald op kop waar het de implementatie van nieuwe wet- en regelgeving betreft. Het is daarom de hoogste tijd kennis te nemen van de AVG, de Algemene verordening gegevensbescherming, die per 25 mei aanstaande in werking treedt.

Officieel heet de regeling de General Data Protection Regulation. Het betreft Europese regelgeving die per genoemde datum bewerkstelligt dat binnen de Europese Unie dezelfde privacywetgeving bestaat. Met het in werking treden van de AVG, zal de huidige Wet bescherming persoonsgegevens (Wbp) automatisch worden vervangen. Deze AVG heeft zogenoemde directe werking. Er bestaat dus geen overgangsregime. De AVG heeft een relatief grote impact op de verwerking van persoonsgegevens bij organisaties en bedrijven. Dat geldt dus ook voor de bouwsector. Daarbij maakt het geen verschil of sprake is van burgerlijke en utiliteitsbouw (woningbouw, kantoren, ziekenhuizen) en de infrabranche (kunstwerken, civiel, wegenbouw en K&L). Ook maakt het niet uit of sprake is van een opdrachtgever zoals een corporatie of een hoofd- of onderaannemer.

Persoonsgegevens

Binnen de AVG is de definitie van ‘verweking’ van persoonsgegevens zeer breed geformuleerd. Het gevolg hiervan is dat bij iedere aannemer persoonsgegevens worden verwerkt. Denk aan klantenbestanden die zijn aangelegd voor het uitvoeren van onderhoudswerkzaamheden. Maar ook aan manurenregisters waarin wordt bijgehouden wie welke werkzaamheden voor welke duur heeft uitgevoerd. Ook het bijhouden van medewerkersgegevens door de afdeling Personeel & Organisatie valt onder deze definitie.

De nieuwe regels dwingen tot reflectie: hoe worden de persoonsgegevens verwerkt en beschermd? De verantwoordingsplicht houdt in dat de aannemer moet kunnen aantonen dat alle verwerkingen conform de AVG zijn. Hierbij kan worden gedoeld op de beginselen van rechtmatigheid, transparantie, doelbinding en juistheid.

Eisen bij overleggen gegevens

De verwerking van persoonsgegevens is slechts toegestaan als aan ten minste een van voorwaarden uit de wet is voldaan. Dus als een aannemer overeenkomsten aangaat, zal ook alert moeten zijn op door een opdrachtgever gevraagde proceseisen ten aanzien van het een algemene beschrijving van de beveiligingsmaatregelen.

Functionaris Gegevensbescherming

Overheden en publieke organisaties zijn verplicht een zogenoemde Functionaris Gevensbescherming (FG) aan te stellen. Voor aannemers geldt deze verplichting niet, tenzij vanuit een kernactiviteit op grote schaal individuen worden gevolgd (cameratoezicht of profilering) of wanneer er op grote schaal bijzondere persoonsgegevens (gegevens over gezondheid, ras, politieke opvatting, geloof of strafrechtelijk verleden) worden verwerkt.

Organisatorische en technische maatregelen

De organisatie moet met documenten kunnen aantonen dat de juiste organisatorische en technische maatregelen zijn genomen om wetsconform te kunnen werken. Organisatorische maatregelen zijn de maatregelen die nodig zijn om zeker te stellen dat alleen die persoonsgegevens toegankelijk zijn voor de personen binnen de organisatie die deze nodig hebben voor de uitvoering van hun taken. Hierbij is te denken aan zaken als: wie heeft toegang tot welke data, waar en hoe zijn die data opgeborgen, welke protocollen zijn er en hoe wordt geborgd dat de medewerkers zich houden aan de betreffende protocollen van geheimhouding.

Bij technische maatregelen kan worden gedacht aan versleuteling van data, firewalls, virusscanners, inzet van software tegen malware-aanvallen, het maken van een back-up alsmede de locatie waar die data worden opgeslagen.

Autoriteit Persoonsgegevens

De Autoriteit Persoonsgegevens is exclusief belast met toezicht en naleving van de wet. Als er een schending van de wet wordt geconstateerd, is de AP bevoegd een bestuurlijke boete op te leggen tot maximaal 4% van de wereldwijde jaaromzet. Indien de AP daartoe verzoekt, bestaat er de verplichting verantwoording af te leggen over de wijze van gegevensverwerking. Als dit nog niet is gebeurd, moeten de diverse verzamelingen persoonsgegevens in kaart te worden gebracht en dient met spoed beleid te worden geïmplementeerd. De verantwoordingsplicht geldt vanaf 25 mei 2018.

Mr. Pieter de Vries is consultant bij Kpieto! B.V., mr. Jan Snethlage is Privacy Consultant.