Vorige

GDPR en personeelsgegevens: 4 praktische tips voor de hr-dienst

04 oktober 2019 Florence Cordonnier Werkgevers

De General Data Protection Regulation (GDPR) is ondertussen al zo’n anderhalf jaar in werking. Deze Europese Verordening ter bescherming van persoonsgegevens gaat over de verzameling, het gebruik en de beveiliging van persoonsgegevens. De GDPR heeft voor jouw onderneming, groot of klein, implicaties.

Meer dan een derde van de kmo’s geeft in onderzoek van Acerta aan dat de GDPR geen realistische norm is voor kleinere ondernemingen. Tijdsgebrek en de complexiteit van de wetgeving zijn vaak de boosdoeners. Toch ben je beter in orde, zo niet riskeer je boetes die kunnen oplopen tot vier procent van je jaarlijkse omzet.

We geven je 4 praktische tips om je in regel te stellen met de GDPR en zo boetes te vermijden.

Leestijd: Later lezen?

1. Breng persoonsgegevens in kaart. Je hebt er meer dan je zou denken.

Wat zijn nu juist die persoonsgegevens? Je hebt veel gegevens van je personeelsleden. Die reiken uiteraard veel verder dan enkel naam, voornaam, geslacht, leeftijd of adres. Je beschikt ook over evaluaties, camerabeelden, medische attesten, waarschuwingsbrieven, foto’s op het intranet, gegevens van controles op e-mail en internetgebruik, gegevens over tijdsregistratie enzovoort. Mogelijk beschik je daarnaast ook over gegevens van leveranciers of klanten en van sollicitanten.

Maak een overzicht van al deze persoonsgegevens in een verwerkingsregister. Daarin moeten alle verwerkingen van de gegevens worden opgenomen, samen met het doel waarvoor ze verwerkt worden en hun rechtsgrond (zie hieronder).

2. Ga na op welke wettelijke grondslag je je kan beroepen voor het gebruik van de gegevens

Je moet altijd een wettelijke grondslag hebben om persoonsgegevens te verwerken, op te slaan, door te geven, ... Toestemming van de betrokkene is één mogelijke wettelijke grondslag, op voorwaarde dat deze vrij, specifiek en geïnformeerd is. Een ‘vrije’ toestemming binnen een werknemer-werkgeversrelatie is weliswaar steeds voor discussie vatbaar. Daarom deze tip: beroep je in eerste instantie op een van de volgende wettelijke grondslagen, indien mogelijk:

  • uitvoering van een overeenkomst
  • naleven wettelijke verplichting
  • gerechtvaardigd belang

Als je je op één van bovenstaande grondslagen kan beroepen, is de toestemming van de werknemer in principe niet meer nodig (al zijn er enkele uitzonderlijke gevallen).

Zo is de wettelijke grondslag voor het verwerken van de naam, adresgegevens en het rekeningnummer van de werknemer bijvoorbeeld, de uitvoering van de arbeidsovereenkomst. Om gegevens uit een evaluatie te gebruiken, kan je als grondslag een gerechtvaardigd belang aantonen. Om foto’s van werknemers (zowel intern als extern) te gebruiken daarentegen, heb je wel nog steeds de uitdrukkelijke toestemming van de persoon op de foto nodig.

3. Stel de nodige policies op

Daarnaast voorziet de GDPR een informatieverplichting. Dat betekent dat je je werknemer of een andere betrokkene moet informeren over de verwerking van zijn/haar persoonsgegevens. Wij raden daarom aan om een policy (‘Privacy Policy’) op te stellen waarin je jouw medewerkers op de hoogte brengt van de aard van de persoonsgegevens die je verwerkt, het waarom en op welke grond je deze verwerkt. Je moet ze informeren over hoe lang je deze gegevens zal bewaren en welke rechten zij hebben. Ten slotte is het ook belangrijk dat je medewerkers een aanspreekpunt hebben als ze een klacht hebben of als ze hun gegevens willen opvragen, wijzigen of verwijderen.

Anderzijds stel je best ook een gedragscode op voor je medewerkers waarin je beschrijft wie met persoonsgegevensvan klanten, leveranciers en andere stakeholders mag omgaan, hoe zij hier moeten mee omgaan en wat de sancties zijn als ze dit niet naleven. Mag een medewerker bijvoorbeeld thuis vertrouwelijke documenten afdrukken? Heeft iedereen een persoonlijk wachtwoord, of is alles open beschikbaar?

Tot slot verifieer je best of je huidige policies (internet- en e-mailbeleid, camerabewaking etc.) GDPR-proof zijn.

4. Hou zicht op de bewaartermijnen

De GDPR stelt voorop dat persoonsgegevens niet langer mogen worden bewaard dan nodig is. Met deze abstracte regel als richtlijn moet je dus nagaan hoe lang de wettelijke bewaartermijn is van de verschillende persoonsgegevens, rekening houdend met de bedoeling van de gegevens. Indien de gegevens de wettelijke bewaartermijn bereiken, moet je ze wissen of anoniem maken. Een voorbeeld: hoe lang hou je een waarschuwingsbrief bij? Om de bewaartermijn daarvan te bepalen, hou je best rekening met de wettelijke termijnen waarbinnen een werknemer zijn ontslag kan aanvechten.

Check dan ook de bewaartermijnen aan de hand van geldende regelgevingen en breng ze in kaart (in het verwerkingsregister).

De GDPR-wetgeving is complex. Weet je niet waar te beginnen? Volg dan een van onze opleidingen om concreet aan de slag te kunnen:

Deel dit artikel
Florence Cordonnier

Geschreven door Florence Cordonnier

Managing consultant

Gerelateerde artikels

GDPR naleven: geen onmogelijke opdracht
Werkgevers

GDPR naleven: geen onmogelijke opdracht

30 oktober 2018

Over GDPR werd het laatste woord nog niet geschreven. Uit onderzoek van ACERTA blijkt dat ruim 90% van de Belgische kmo’s aandacht besteedt aan deze Europese wetgeving. De praktische toepassing ervan, is een ander paar mouwen.

Lees meer