Training medewerkers

Privacytrainingen zijn hot! Het is de kern van de ‘plicht tot informeren’. Art. 39 lid 1 GDPR voorziet in de verplichting om alle personen betrokken bij de verwerking van persoonsgegevens (dus ook verwerkers) te informeren over de verplichtingen die zij hebben m.b.t. de bescherming van die persoonsgegevens.

Plicht tot informeren

Deze ‘plicht tot informeren’ beperkt zich niet tot alleen de GDPR. Artikel 39 lid 1 breidt deze verplichting expliciet uit met de verplichtingen uit hoofde van andere EU-wetgeving en onze eigen nationale wetgeving.

Wat betekent dit voor een organisatie?

Op de eerste plaats moet er duidelijkheid bestaan over wélke verplichtingen uit wélke wet- en regelgeving het hier gaat en over de taken die hieruit voortvloeien. Vervolgens moet vastgesteld worden wie welke taken moet gaan uitvoeren. Daarna moeten de personen die het betreft hierover geïnformeerd worden.

Privacytrainingen

Het gaat hier over meer dan het plaatsen van een handtekening met verwijzing naar bijvoorbeeld het handboek personeel. De kern van deze verplichting bestaat uit het periodiek verzorgen van privacytrainingen, met specifieke aan de ‘plicht tot informeren’ gerelateerde leerdoelen, een aanwezigheidsregistratie en een programma dat up-to-date is met de laatste privacy-ontwikkelingen. Daarnaast moet natuurlijk worden bijgehouden of de leerdoelen ook écht bereikt zijn.

Privacy accountability

Een veelgehoorde vraag uit de praktijk is: ‘Maar wat nu als mijn organisatie niet verplicht is om een Functionaris voor Gegevensbescherming te benoemen? Heb ik dan nog steeds een ‘plicht tot informeren’?’

Art 39 GDPR gaat over de taken van de Functionaris voor Gegevensbescherming. Dit betreft geen limitatieve opsomming, maar wel een minimumlijst van door de FG uit te voeren taken. Impliciet betekent dit dat de wetgever hiermee aangeeft dat hij het belangrijk vindt dat in ieder geval deze taken worden uitgevoerd. Zo dus ook voor de ‘plicht tot informeren’. De reden hiervoor lijkt voor de hand te liggen…

Wil je als organisatie ‘privacy accountable’ zijn, dan zul je je medewerkers en verwerkers moeten informeren en instrueren hoe zij conform wet- en regelgeving invulling moeten geven aan het beschermen van persoonsgegevens.

Ook wanneer je niet verplicht bent een Functionaris voor Gegevensbescherming te benoemen, is het toch zaak om gestructureerd invulling te geven aan de ‘plicht tot informeren’. Hoe beperkt ook.

Wij kunnen voor uw organisatie een traject opstellen en implementeren binnen jullie organisatie. Neem hiervoor contact op met mij