AVG implicaties voor vertrouwenspersonen

Wat betekent de Algemene Verordening Gegevensbescherming (AVG) voor de verslaglegging van in- en externe vertrouwenspersonen? Hubert Consult vroeg dr. mr. Marlies Vegter om hierover een nieuwsbericht te schrijven.

 

Vanaf 25 mei 2018 wordt de Wet bescherming persoonsgegevens (Wbp) vervangen door de Algemene Verordening Gegevensbescherming (AVG). Deze Verordening is vastgesteld door de Europese Unie en geldt voor de hele Unie. De belangrijkste wijziging die de AVG meebrengt, is de verantwoordingsplicht. Iedere organisatie zal aan de hand van documenten moeten kunnen aantonen dat zij voldoet aan de privacybeginselen uit de AVG. Dit geldt ook voor zelfstandige professionals (zzp’ers).

De AVG is dus ook relevant voor vertrouwenspersonen. Zijn vertrouwenspersonen in dienst van een organisatie, dan heeft in principe de organisatie de verantwoordingsplicht en niet de vertrouwenspersoon zelf. Dit kan anders zijn als vertrouwenspersonen, ook al zijn zij in dienst bij een werkgever, zelf bepalen welke persoonsgegevens zij bewaren, voor welk doel en op welke manier. Is dat het geval, dan zijn deze vertrouwenspersonen ook verwerkingsverantwoordelijke en moeten zij aan de eisen van de AVG voldoen. Dit laatste geldt ook voor zzp’ers. Ook zij moeten zorgen dat hun administratie aan de AVG voldoet.

Belangrijk in dit verband is dat de verwerkingsverantwoordelijke inventariseert welke gegevens hij/zij of de organisatie verwerkt en een verklaring opstelt hoe met deze gegevens wordt omgegaan. Informatie hierover is te vinden op allerlei websites, maar in het bijzonder op de website van de Autoriteit Persoonsgegevens. Daarop zijn ook diverse modellen en checklists etc. te vinden. (https://autoriteitpersoonsgegevens.nl/nl).

Voor vertrouwenspersonen is vooral van belang hoe om te gaan met aantekeningen die zij maken over cliënten die hen als vertrouwenspersoon benaderen. Moeten deze aantekeningen op een specifieke manier bewaard worden en welke rechten hebben cliënten met betrekking tot inzage, verwijdering, etc. En hebben aangeklaagden die rechten ook?

In beginsel hebben alle mensen van wie persoonsgegevens worden verwerkt, een inzagerecht, een recht op correctie van de gegevens, het recht om de gegevens te laten verwijderen en het recht om de gegevens ‘mee te nemen’. Persoonsgegevens zijn alle gegevens die betrekking hebben op een persoon. De AVG is echter alleen van toepassing, als sprake is van verwerking van persoonsgegevens. Dat is het geval wanneer persoonsgegevens zijn opgenomen in een bestand of het de bedoeling is dat dat zal gebeuren en/of wanneer de gegevens geautomatiseerd worden verwerkt. Zuiver persoonlijke aantekeningen vallen niet onder het inzagerecht evenmin als wat losse papieren op het bureau met daarin wat namen of een puur mondelinge overdracht van gegevens. Zodra er structuur wordt aangebracht in de gegevens is de AVG echter van toepassing.

Voor vertrouwenspersonen betekent dit dat aantekeningen van gesprekken met cliënten niet onder de AVG vallen als het puur persoonlijke aantekeningen zijn waar verder niets mee gebeurt. Zodra de aantekeningen echter worden bijgehouden, bijvoorbeeld ten behoeve van een geanonimiseerd jaarverslag of simpelweg om overzicht te houden, is de AVG van toepassing. Het maakt daarbij niet uit of de aantekeningen alleen op papier worden bewaard of ook in de computer.

Is de AVG van toepassing, dan hebben de personen van wie gegevens worden opgeslagen, de hiervoor genoemde rechten op inzage, correctie, wissen en meenemen van gegevens. Deze rechten komen in elk geval toe aan degenen die met de vertrouwenspersoon hebben gesproken over ongewenst gedrag op het werk en over het mogelijk indienen van een klacht. In beginsel heeft echter ook de potentiële aangeklaagde deze rechten. Ook van hem worden immers persoonsgegevens verwerkt. Dat zou betekenen dat een aangeklaagde inzage kan verlangen in de aantekeningen die een vertrouwenspersoon naar aanleiding van een klacht heeft gemaakt.

De aangeklaagde moet dan wel weten dat die gegevens verwerkt worden. Hoofdregel van de AVG is dat betrokkenen er over geïnformeerd moeten worden dat hun gegevens worden verwerkt. Zijn gegevens echter buiten iemand om verkregen, dan hoeft die persoon daar niet over ingelicht te worden als de persoonsgegevens vertrouwelijk moeten blijven in verband met een beroepsgeheim/geheimhoudingsplicht. Op deze grond kan een vertrouwenspersoon er dus vanaf zien om een potentiële aangeklaagde te laten weten dat zijn/haar persoonsgegevens worden verzameld.

Weet de aangeklaagde al dat zijn gegevens voorkomen in een verslag van de vertrouwenspersoon en vraagt hij daarin inzage, dan kan dit geweigerd worden op de grond dat dit noodzakelijk is ter waarborging van de bescherming van de rechten en vrijheden van de klager. Het recht op inzage en de andere rechten die de AVG biedt, gelden in een dergelijk geval namelijk niet of in beperktere mate. De vertrouwenspersoon moet desgevraagd wel kunnen uitleggen waarom hij inzage heeft geweigerd en hoe hij de belangen van klager en aangeklaagde tegen elkaar heeft afgewogen.

De AVG roept dus nieuwe verplichtingen en rechten in het leven, maar er blijft ook veel bij het oude. Vertrouwenspersonen moeten hun administratie op orde hebben en desgevraagd inzage kunnen geven in de manier waarop zij persoonsgegevens verwerken en de maatregelen die zij nemen om misbruik te voorkomen. Persoonlijke aantekeningen vallen onder de AVG, als deze op een gestructureerde manier worden verwerkt. Het is echter niet vereist om een aangeklaagde te informeren over of inzage te geven in dergelijke aantekeningen, als dit in strijd zou zijn met de geheimhoudingsplicht/het beroepsgeheim van de vertrouwenspersoon. De bescherming van de klager weegt dan zwaarder.

Dr. mr. Marlies Vegter

 

Alle nieuwsberichten