Wet Bescherming Persoonsgegevens; hoe gaat Bureau Cicero hiermee om?

Wet Bescherming Persoonsgegevens
De wet Bescherming Persoonsgegevens is bestaat nu ruim 15 jaar. Sinds 1 januari 2016 zijn boetes voor overtredingen van die wet fors verhoogd. De hoogte van de boete is afhankelijk van de overtreding met als bovengrens € 900.000. In extreme situaties kan deze bovengrens overschreden worden en kan de boete oplopen tot 10% van de jaaromzet van een onderneming. Het is daarom belangrijk om de bedrijfsprocessen zo in te regelen dat die voldoen aan deze wet.

Data-lek
Een van de grootste risico’s is een data-lek. Het verliezen van een memory stick of een gestolen laptop is potentieel zo’n data-lek.
Het is dus niet alleen zaak om de procedures in overeenstemming met de wet Bescherming Persoonsgegevens op te zetten, maar ook om dit goed te implementeren en binnen de organisatie te handhaven.
Wij hebben als inspectie instelling, die zich bezig houdt met controle op “Verplichtingen uit Arbeid”, hier indringend mee te maken:
Wij controleren bij onze klanten onder andere personeelsadministraties en loonadministraties, rapporteren daarover aan de beheerders van de normen waarop we controleren, bijvoorbeeld Stichting Normering Arbeid (SNA) en Stichting Paychecked in Transport (Paychecked) en houden dossiers bij van onze werkzaamheden.

Protocol Bescherming Persoonsgegevens SNA
De Stichting Normering Arbeid en de daaraan verbonden inspectie-instellingen hebben drie protocollen ontwikkeld en ter goedkeuring voorgelegd aan de Autoriteit Persoonsgegevens. In deze protocollen is vastgelegd wat de werkwijze is, welke gegevens verwerkt worden, de verantwoordelijkheid hiervoor en tot slot hoe en binnen welke randvoorwaarden dit wordt gedaan. Bij dit laatste kan gedacht worden aan doel en grondslag van de verwerking, informatieplicht, geheimhoudingsplicht, bewaartermijnen en beveiliging.
Deze protocollen zijn:
1. Protocol verwerking persoonsgegevens Inspectie-instellingen t.b.v. het SNA. Dit regelt de werkwijze van de inspectie-instelling in verhouding tot de geïnspecteerde partij en tot SNA
2. Protocol verwerking persoonsgegevens SNA t.b.v. het SNA keurmerk. Dit regelt de werkwijze van SNA in relatie tot de inspectie-instelling en de geïnspecteerde partij.
3. Protocol verwerking strafrechtelijke gegevens t.b.v. SNA-keurmerk. Dit is van toepassing bij de informatieplicht aan de Belastingdienst en de inspectie SZW die SNA heeft.
Deze zijn voorgelegd aan de Autoriteit Persoonsgegevens en goedgekeurd.

Daarbij zijn de procedures gecontroleerd op hun houdbaarheid ten opzichte van de wet Bescherming Persoonsgegevens en waar nodig verbeterd. Zo hebben we met onze provider van softwarediensten een bewerkersovereenkomst opgesteld, nadat we ons ervan hebben laten overtuigen dat zij hun zaken met betrekking tot veilige opslag van gegevens in orde hebben. Ook hebben we gekeken naar ons inspectieproces; liefst werken we direct op onze systemen bij onze provider, hetgeen mogelijk is als onze klant een goede internetverbinding heeft. Als dat niet het geval is, dan werken we op onze stand-alone computer. Maar dan moeten de gegevens nog dezelfde dag ge-upload worden naar het beveiligde systeem en verwijderd worden van de computer.

Ook onze klanten dienen ook nog iets te regelen: Er moet toestemming gevraagd worden van de medewerkers om hun gegevens aan Bureau Cicero ter beschikking te stellen voor de controlewerkzaamheden. Dit kan door dit op te nemen in de arbeidsovereenkomst of het personeelsreglement.

Theo van Leeuwen